사전 요구 사항
- Owner 또는 User Access Administrator 권한이 있는 Azure 구독.
- Azure Active Directory에서 앱 등록을 생성할 권한.
- 대상 구독에서 역할을 할당할 권한.
Reader 역할은 비용 분석, 보안 감사, 리소스 검사에 충분합니다. 에이전트가 Azure 리소스에 대한 작업을 수행해야 하는 경우에만 쓰기 수준 역할을 부여하세요.
설정
애플리케이션 등록
Azure 포털로 이동하여 Azure Active Directory → App registrations → New registration으로 이동하세요:
- Name:
CloudThinker-ReadOnly - Supported account types: 이 조직 디렉터리의 계정만
- Register 클릭
클라이언트 시크릿 생성
앱 등록에서 Certificates & secrets → New client secret으로 이동하세요. 설명을 추가하고 만료 기간을 설정하여 (권장: 12개월) Add를 클릭하세요. 시크릿 값을 즉시 복사하세요 — 다시 표시되지 않습니다.
Reader 역할 할당
Subscriptions → Your Subscription → Access control (IAM) → Add → Add role assignment로 이동하세요. Reader 역할을 선택하고 앱 등록을 검색하여 선택한 후 Save를 클릭하세요.
멀티 구독 설정
여러 Azure 구독이 있는 조직의 경우:연결 세부 정보
| 필드 | 설명 | 예시 |
|---|---|---|
| Client ID | 앱 등록의 Application (client) ID | 00000000-0000-0000-0000-000000000000 |
| Client Secret | Certificates & secrets에서 생성한 시크릿 값 | — |
| Tenant ID | Azure AD의 Directory (tenant) ID | 00000000-0000-0000-0000-000000000000 |
| Subscription ID | 연결할 Azure 구독 ID | 00000000-0000-0000-0000-000000000000 |
필요 권한
최소 (읽기 전용 분석)
권장 (전체 분석)
에이전트 기능
연결되면 에이전트가 Azure 리소스를 분석하고 최적화할 수 있습니다.연결 검증
예시 프롬프트
문제 해결
인증 실패
인증 실패
테넌트 ID, 클라이언트 ID, 클라이언트 시크릿이 올바른지 확인하세요. 클라이언트 시크릿이 만료되지 않았는지, 앱 등록이 올바른 Azure AD 테넌트에 있는지 확인하세요. 조건부 접근 정책이 인증을 차단하고 있지 않은지 확인하세요.
클라이언트 시크릿 만료
클라이언트 시크릿 만료
Azure AD → App registrations → Your app → Certificates & secrets로 이동하여 새 클라이언트 시크릿을 생성하고 CloudThinker 연결 설정에서 시크릿을 업데이트하세요.
리소스 없음
리소스 없음
Reader 역할이 올바른 구독에 할당되어 있는지 확인하세요. 리소스가 다른 구독에 있는지 확인하고 앱이 필요한 모든 구독에 접근할 수 있는지 확인하세요.
비용 데이터 없음
비용 데이터 없음
Cost Management Reader 역할이 할당되어 있는지 확인하세요. Cost Management + Billing 접근을 확인하고 해당되는 경우 EA/MCA 청구 계정 접근이 설정되어 있는지 확인하세요.
보안
- 최소 권한 — 에이전트가 사용 사례에 필요한 권한만 부여하세요. 읽기 전용으로 시작한 후 필요에 따라 확장하세요.
- 기본 읽기 전용 — 에이전트가 이 연결을 통해 변경 작업을 수행하게 할 것이 아니라면 읽기 전용 자격증명을 사용하세요.
- 자격증명 교체 — 정기 일정에 따라 키와 토큰을 교체하세요. 연결을 업데이트하면 CloudThinker가 새 값을 자동으로 반영합니다.
- 오프보딩 시 취소 — 연결을 삭제하거나 팀원이 퇴사할 때 프로바이더에서 자격증명을 제거하세요.
- 시크릿 만료 설정 — 항상 클라이언트 시크릿에 만료 기간을 설정하고 (“Never” 피하기), 만료 전 교체를 위한 캘린더 알림을 설정하세요.
- Reader 역할 사용 — Contributor 대신 Reader를 할당하세요. CloudThinker의 읽기 작업은 쓰기 접근이 필요하지 않습니다.
관련 문서
AWS 연결
Amazon Web Services 연결
Oliver 에이전트
Azure 컴플라이언스를 위한 보안 중심 에이전트