기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 자격 증명 설정
Amazon Quick에서 지식 기반을 생성하기 전에 AWS 및 Microsoft Entra ID에서 다음 구성 단계를 완료합니다. KMS 서명 키를 생성하고, 인증서를 생성하고, Entra에 애플리케이션을 등록하고, Amazon Quick에 키를 사용할 수 있는 권한을 부여합니다.
이 설정은 여러 시스템을 포함하며 조직의 여러 관리자 간의 조정이 필요할 수 있습니다. 다음 표에는 각 단계와 이를 완료하는 데 필요한 역할이 요약되어 있습니다.
| 단계 | 수행하는 작업 | 필요한 역할 |
|---|---|---|
| 1. KMS 키 | AWS KMS에서 비대칭 서명 키를 생성합니다. | AWS 관리자(KMS 및 IAM 콘솔 액세스) |
| 2. 인증서 | KMS 퍼블릭 키를 사용하여 자체 서명된 인증서를 생성합니다. | 1단계와 동일(AWS CLI 및 OpenSSL 필요) |
| 3. Entra 앱 | Microsoft Entra에 애플리케이션을 등록하고, API 권한을 할당하고, 인증서를 업로드합니다. | Microsoft 365 글로벌 관리자 또는 권한 있는 역할 관리자 |
| 3b. Sites.Selected(선택 사항) | Microsoft Graph API를 통해 임시 관리자 앱을 생성하고 사이트당 권한을 부여합니다. | Microsoft 365 Global Admin(3단계와 동일) |
| 4. KMS 키 액세스 | 서명에 KMS 키를 사용할 수 있는 권한을 Amazon Quick에 부여합니다. | Amazon Quick 관리자(Admin Pro) |
| 5. KB 생성 | 이전 단계의 자격 증명을 사용하여 Amazon Quick에서 지식 기반을 생성합니다. | 모든 Amazon Quick 사용자(Author Pro 또는 Admin Pro) |
작은 정보
많은 조직에서 AWS 및 Microsoft 365 관리자 액세스 권한이 모두 있는 한 사람이 모든 단계를 완료할 수 있습니다. 팀 간에 책임이 분할된 경우이 표를 공유하여 설정을 조정합니다.
사전 조건
시작하기 전에 다음 사항을 갖췄는지 확인하세요.
-
활성 Amazon Quick 인스턴스가 있는 AWS 계정입니다.
-
AWS KMS 콘솔에 대한 액세스(서명 키 생성용).
-
KMS 키 권한을 부여하기 위한 Amazon Quick 관리자 액세스(Admin Pro 역할)
-
SharePoint Online을 사용하는 Microsoft 365 테넌트.
-
Microsoft Entra ID의 글로벌 관리자 또는 권한 있는 역할 관리자 액세스.
-
OpenSSL 3.0 이상 및 AWS CLI가 로컬에 설치되었습니다.
-
AWS 계정과 Amazon Quick 인스턴스는 동일한 리전에 있어야 합니다.
권한
할당하는 권한은 다음 두 가지 선택에 따라 달라집니다.
-
문서 수준 액세스 제어(ACL 크롤링)를 활성화할 계획인지 여부입니다.
-
모든 SharePoint 사이트에 대한 액세스 권한을 부여할지 아니면 특정 사이트에만 액세스 권한을 부여할지 여부입니다.
권한 범위 선택
기본적으로 Entra 앱 등록은 테넌트의 모든 SharePoint 사이트에 대한 액세스 권한을 Sites.FullControl.All부여하는 Sites.Read.All 또는를 사용합니다. 조직에 최소 권한 액세스가 필요한 경우 Sites.Selected를 대신 사용할 수 있습니다. Sites.Selected를 사용하면 앱은 사용자가 명시적으로 권한을 부여하는 사이트에만 액세스할 수 있습니다.
| Scope | 액세스 | 추가 단계 |
|---|---|---|
| 모든 사이트(기본값) | 앱은 테넌트의 모든 SharePoint 사이트를 읽을 수 있습니다. | — |
Sites.Selected |
앱은 명시적으로 부여하는 사이트에만 액세스할 수 있습니다. | 각 사이트에 대해 임시 관리자 앱과 Microsoft Graph API 호출이 필요합니다. 3b단계: 사이트 수준 권한 부여(Sites.Selected만 해당)을(를) 참조하세요. |
참고
를 사용하는 경우 각 사이트에 개별적으로 액세스 권한을 부여Sites.Selected해야 합니다. 향후 지식 기반에 추가된 모든 새 사이트도 별도의 권한 부여가 필요합니다.
모든 사이트 - 콘텐츠만(ACL 없음)
| API | 권한 | Type |
|---|---|---|
| Microsoft Graph | Sites.Read.All |
애플리케이션 |
| SharePoint REST | Sites.Read.All |
애플리케이션 |
모든 사이트 - ACL 크롤링 포함
| API | 권한 | Type |
|---|---|---|
| Microsoft Graph | Sites.Read.All |
애플리케이션 |
| Microsoft Graph | User.Read.All |
애플리케이션 |
| Microsoft Graph | GroupMember.Read.All |
애플리케이션 |
| SharePoint REST | Sites.FullControl.All |
애플리케이션 |
중요
이전 테이블의 전체 사이트 권한 또는 다음 테이블의 Sites.Selected 권한을 선택합니다. 둘 다 결합하지 마세요. 확실하지 않은 경우 모든 사이트로 시작합니다. 필요한 경우 Sites.Selected 나중에를 사용하여 새 Entra 앱 등록을 생성할 수 있습니다.
Sites.Selected - 콘텐츠만 해당(ACL 없음)
| API | 권한 | Type |
|---|---|---|
| Microsoft Graph | Sites.Selected |
애플리케이션 |
| SharePoint REST | Sites.Selected |
애플리케이션 |
Sites.Selected - ACL 크롤링 포함
| API | 권한 | Type |
|---|---|---|
| Microsoft Graph | Sites.Selected |
애플리케이션 |
| Microsoft Graph | User.Read.All |
애플리케이션 |
| Microsoft Graph | GroupMember.Read.All |
애플리케이션 |
| SharePoint REST | Sites.Selected |
애플리케이션 |
참고
OneNote 크롤링(Notes.Read.All)은 관리형 설정에서 지원되지 않습니다. Microsoft는 2025년 3월 31일에 OneNote APIs에 대한 앱 전용 토큰을 사용 중지했습니다. OneNote 콘텐츠사용자 관리형 설정에를 사용합니다.
설정 중에 수집된 값
다음 표에는 설정 중에 생성하거나 수집하는 값과 이를 사용하는 위치가 요약되어 있습니다.
| 값 | 단계에서 생성됨 | 단계에서 사용됨 |
|---|---|---|
| KMS 키 ARN | 1(KMS) | 2(인증서), 4(IAM), 빠른 설정 |
인증서 파일(certificate.cer) |
2(인증서) | 3(Entra 업로드) |
| 인증서 지문(base64url) | 2(인증서) | 빠른 설정 |
| 애플리케이션(클라이언트) ID | 3(Entra) | 빠른 설정 |
| 디렉터리(테넌트) ID | 3(Entra) | 빠른 설정 |
| SharePoint 도메인 URL | M365 테넌트 | 빠른 설정 |
1단계: AWS KMS 비대칭 서명 키 생성
Amazon Quick은 AWS KMS 비대칭 키를 사용하여 Microsoft Entra ID로 인증할 때 OAuth 어설션에 서명합니다. 프라이빗 키는 KMS를 벗어나지 않습니다. Entra 앱 등록에 업로드되는 인증서에는 퍼블릭 키만 내보내지고 포함됩니다.
KMS 키 생성
-
AWS KMS 콘솔
을 엽니다. -
탐색 창에서 고객 관리형 키를 선택합니다.
-
키 생성을 선택합니다.
키 구성
키 구성 페이지에서 다음 값을 설정합니다.
| 설정 | 값 |
|---|---|
| 키 유형 | 비대칭 |
| 키 사용 | 서명 및 확인 |
| 키 사양 | RSA_2048 |
| 키 구성 요소 오리진 | KMS(권장) |
| 리전 구분 | 단일 리전 키(기본값). 다중 리전 키는 지원되지 않습니다. |
레이블 추가
레이블 추가 페이지에서 키의 별칭을 입력합니다. 예를 들어 quick-sharepoint-service-auth입니다.
참고
다음 페이지의 키 관리자 및 키 사용 권한은 선택 사항입니다. 기본값은이 설정에 충분합니다. 4단계에서 별도로 Amazon Quick에 키에 대한 액세스 권한을 부여합니다.
검토로 건너뛰기를 선택한 다음 완료를 선택하여 키를 생성합니다.
키 ARN 기록
키가 생성되면 키 세부 정보 페이지를 열고 키 ARN을 기록합니다. ARN의 형식은 다음과 같습니다.
arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Quick에서 지식 기반을 생성할 때 2, 4단계 및에서이 값이 필요합니다.
2단계: 자체 서명된 인증서 생성
Microsoft Entra ID는 서명된 어설션을 검증하기 위해 X.509 인증서가 필요합니다. KMS 프라이빗 키는 AWS KMS를 벗어나지 않으므로 OpenSSL에서 직접 사용할 수 없습니다. 대신 임시 로컬 키 페어를 생성하고 인증서 서명 요청을 생성합니다. 그런 다음 OpenSSL -force_pubkey 옵션을 사용하여 KMS 퍼블릭 키를 최종 인증서에 주입합니다. 그 결과 퍼블릭 키가 KMS 키 페어와 일치하는 자체 서명된 인증서가 생성됩니다.
사전 조건
-
AWS CLI가 설치 및 구성되었습니다.
-
OpenSSL 3.0 이상.
-
1단계의 KMS 키 ARN입니다.
인증서 생성
터미널에서 다음 명령을 실행합니다. 자리 표시자 값을 자신의 값으로 바꿉니다.
OpenSSL 버전 확인
openssl version
출력에 버전 3.0 이상이 표시되는지 확인합니다.
KMS 퍼블릭 키 내보내기
aws kms get-public-key \ --key-idKMS_KEY_ARN\ --regionREGION\ --output text \ --query PublicKey | base64 --decode > public_key.der
참고
macOS에서는 쉘 환경에 base64 -D 따라 base64 --decode 또는를 사용합니다.
퍼블릭 키를 PEM 형식으로 변환
openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem
임시 로컬 키 페어 생성
openssl genrsa -out temp_private_key.pem 2048
인증서 서명 요청 생성
openssl req -new \ -key temp_private_key.pem \ -out cert.csr \ -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"
KMS 퍼블릭 키를 사용하여 인증서 생성
openssl x509 -req \ -in cert.csr \ -signkey temp_private_key.pem \ -out certificate.pem \ -days 730 \ -force_pubkey kms_public_key.pem
참고
OpenSSL은 경고를 표시합니다Signature key and public key of cert do not match. 이는 인증서가 임시 로컬 키로 서명되었지만 KMS 퍼블릭 키가 포함되어 있기 때문에 예상됩니다. 인증서가 유효하며 Microsoft Entra에서 올바르게 작동합니다.
Entra 업로드를 위해 DER 형식으로 변환
openssl x509 -in certificate.pem -outform DER -out certificate.cer
임시 파일 정리
rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
중요
certificate.cer 파일을 보관합니다. 3단계에서 Microsoft Entra ID에 업로드합니다.
인증서 지문 계산
다음 명령을 실행하여 인증서의 base64url 인코딩 SHA-1 지문을 계산합니다.
openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='
이 값을 기록합니다. Quick에서 지식 기반을 생성할 때 입력합니다.
참고
base64url로 인코딩된 지문은 Microsoft Entra 포털에 표시된 16진수 지문과 다릅니다. 빠른 에는 base64url 형식이 필요합니다.
3단계: Microsoft Entra ID에 애플리케이션 등록
이 단계는 모든 사이트 권한을 사용하는지 또는를 사용하는지에 관계없이 필요합니다Sites.Selected. 유일한 차이점은 API 권한 구성 섹션에서 할당하는 API 권한입니다.
애플리케이션 등록
-
Microsoft Entra 관리 센터
에 로그인합니다. -
왼쪽 탐색 창에서 Entra ID를 확장하고 앱 등록을 선택합니다.
-
새 등록을 선택합니다.
-
이름에
QuickSharePointServiceAuth를 입력합니다. -
지원되는 계정 유형에서이 조직 디렉터리의 계정만 선택합니다(단일 테넌트).
-
리디렉션 URI는 비워 둡니다. 애플리케이션이 대화형 로그인 흐름이 아닌 클라이언트 자격 증명 흐름을 사용하기 때문에 리디렉션 URI는 필요하지 않습니다.
-
등록을 선택합니다.
애플리케이션 세부 정보 기록
애플리케이션 개요 페이지에서 다음 값을 기록합니다.
| 값 | Location |
|---|---|
| 애플리케이션(클라이언트) ID | 개요 페이지의 Essentials 아래에 표시됩니다. |
| 디렉터리(테넌트) ID | 개요 페이지의 Essentials 아래에 표시됩니다. |
API 권한 구성
사용 사례와 일치하는 권한을 추가합니다. 권한 섹션의 테이블에서 권한을 선택합니다. 권한 범위(모든 사이트 또는 Sites.Selected)와 ACL 크롤링을 활성화할지 여부를 기준으로 선택합니다.
콘텐츠 전용 - Microsoft Graph
-
Sites.Read.All
콘텐츠 전용 - SharePoint
-
Sites.Read.All
ACL 크롤링 - Microsoft 그래프(추가)
-
Sites.Read.All -
User.Read.All -
GroupMember.Read.All
ACL 크롤링 – SharePoint
-
Sites.FullControl.All
참고
Sites.FullControl.All SharePoint REST API에는 사이트 수준 및 항목 수준 권한 할당을 읽을 수 있는 전체 제어 권한이 필요하기 때문에는 ACL 크롤링에 필요합니다. 를 사용하는 경우 대체 권한 세트는 섹션을 Sites.Selected참조3b단계: 사이트 수준 권한 부여(Sites.Selected만 해당)하세요.
-
앱 등록의 왼쪽 탐색에서 API 권한을 선택합니다.
-
권한 추가를 선택합니다.
-
Microsoft 그래프를 선택합니다.
-
애플리케이션 권한을 선택합니다.
-
사용 사례에 필요한 Microsoft Graph 권한을 검색하여 선택한 다음 권한 추가를 선택합니다.
-
권한 추가를 다시 선택합니다.
-
SharePoint(Microsoft APIs 선택합니다.
-
애플리케이션 권한을 선택합니다.
-
사용 사례에 필요한 SharePoint 권한을 검색하고 선택한 다음 권한 추가를 선택합니다.
중요
위임된 권한이 아닌 애플리케이션 권한 탭을 선택합니다. 관리자 관리형 설정은 애플리케이션 권한이 필요한 클라이언트 자격 증명 흐름을 사용합니다.
관리자 동의 부여
-
API 권한 페이지에서 [조직]에 대한 관리자 동의 부여를 선택합니다.
-
메시지가 표시되면 동의를 확인합니다.
중요
애플리케이션 권한에는 관리자 동의가 필요합니다. 그렇지 않으면 애플리케이션이 SharePoint 데이터에 액세스할 수 없습니다.
인증서 업로드
-
앱 등록의 왼쪽 탐색에서 인증서 및 보안 암호를 선택합니다.
-
인증서 탭을 선택합니다.
-
인증서 업로드를 선택합니다.
-
2단계에서 생성한
certificate.cer파일을 선택합니다. -
추가를 선택합니다.
참고
Entra 포털에는 인증서 지문이 16진수 형식으로 표시됩니다. 이는 2단계에서 계산한 base64url 인코딩 지문과 다릅니다. Quick에서 지식 기반을 구성할 때 base64url 값을 사용합니다.
3b단계: 사이트 수준 권한 부여(Sites.Selected만 해당)
권한 범위Sites.Selected로를 선택한 경우 Amazon Quick Entra 앱에 각 SharePoint 사이트에 대한 액세스 권한을 명시적으로 부여해야 합니다. 이렇게 하려면 Microsoft Graph API를 호출할 Sites.FullControl.All 권한이 있는 임시 관리자 앱이 필요합니다.
모든 사이트 권한 범위(Sites.Read.All 또는 )를 사용하는 경우이 단계를 건너뜁니다Sites.FullControl.All.
각 SharePoint 사이트의 사이트 ID 가져오기
액세스 권한을 부여하려는 각 SharePoint 사이트에 대한 사이트 ID가 필요합니다. 사이트 ID를 가져오려면:
-
브라우저에서 SharePoint 사이트(예:
https://)로 이동합니다.yourcompany.sharepoint.com/sites/SiteName -
URL
/_api/site/id에를 추가하고 Enter 키를 누릅니다. 예:https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id -
페이지에는 사이트 ID(GUID)가 포함된 XML 응답이 표시됩니다. 이 값을 기록합니다.
지식 기반에 포함하려는 각 사이트에 대해 반복합니다.
임시 관리자 앱 생성
관리자 앱은 Amazon Quick 앱에 사이트 수준 권한을 부여하는 데만 사용됩니다. 이 단계를 완료한 후 삭제할 수 있습니다.
-
Microsoft Entra 관리자 센터에서
앱 등록으로 이동하여 새 등록을 선택합니다. -
이름에와 같이 설명이 포함된 이름을 입력합니다
Quick-SharePoint-PermissionGranter. -
지원되는 계정 유형에서이 조직 디렉터리의 계정만 선택합니다(단일 테넌트).
-
리디렉션 URI를 비워 두고 등록을 선택합니다.
-
개요 페이지에서 애플리케이션(클라이언트) ID를 기록합니다.
-
API 권한을 선택한 다음 권한 추가를 선택합니다.
-
Microsoft Graph를 선택한 다음 애플리케이션 권한을 선택합니다. 를 검색하고를 선택합니다
Sites.FullControl.All. 권한 추가를 선택합니다. -
[조직]에 대한 관리자 동의 부여를 선택하고 확인합니다.
-
인증서 및 보안 암호를 선택한 다음 새 클라이언트 보안 암호를 선택합니다. 설명을 입력하고 만료 기간을 선택한 다음 추가를 선택합니다.
-
보안 암호 값을 즉시 기록합니다. 이 값은 한 번만 표시됩니다.
중요
보안 암호 ID가 아닌 보안 암호 값을 복사합니다. 값은 인증에 사용되는 더 긴 문자열입니다.
액세스 토큰 가져오기
관리자 앱 자격 증명을 사용하여 Microsoft Entra에서 OAuth 토큰을 검색합니다. 자리 표시자 값을 관리자 앱의 클라이언트 ID, 보안 암호 값 및 테넌트 ID로 바꿉니다.
macOS 및 Linux(bash)
curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \ --header "Content-Type: application/x-www-form-urlencoded" \ --data-urlencode "grant_type=client_credentials" \ --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \ --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \ --data-urlencode "scope=https://graph.microsoft.com/.default"
Windows(PowerShell)
$tokenResponse = Invoke-RestMethod ` -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" ` -Method Post ` -ContentType "application/x-www-form-urlencoded" ` -Body @{ grant_type = "client_credentials" client_id = "ADMIN_APP_CLIENT_ID" client_secret = "ADMIN_APP_SECRET_VALUE" scope = "https://graph.microsoft.com/.default" } $adminToken = $tokenResponse.access_token
응답에는 access_token 필드가 포함됩니다. 다음 단계에 대해이 값을 기록합니다.
사이트 수준 권한 부여
관리자 토큰을 사용하여 Amazon Quick Entra 앱에 각 SharePoint 사이트에 대한 fullcontrol 액세스 권한을 부여합니다. 자리 표시자 값을 3단계의 사이트 ID, 관리자 토큰, 클라이언트 앱 ID 및 표시 이름으로 바꿉니다.
macOS 및 Linux(bash)
curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \ --header "Content-Type: application/json" \ --header "Authorization: BearerADMIN_TOKEN" \ --data '{ "roles": ["fullcontrol"], "grantedToIdentities": [{ "application": { "id": "CLIENT_APP_ID", "displayName": "CLIENT_APP_NAME" } }] }'
Windows(PowerShell)
$body = @{ roles = @("fullcontrol") grantedToIdentities = @( @{ application = @{ id = "CLIENT_APP_ID" displayName = "CLIENT_APP_NAME" } } ) } | ConvertTo-Json -Depth 10 Invoke-RestMethod ` -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" ` -Method Post ` -Headers @{ "Content-Type" = "application/json" "Authorization" = "Bearer $adminToken" } ` -Body $body
성공적인 응답에는 grantedToIdentities 필드에 "roles": ["fullcontrol"] 및 클라이언트 앱 ID가 포함됩니다.
중요
지식 기반에 포함하려는 각 SharePoint 사이트에 대해이 명령을 반복합니다. 향후 추가되는 모든 새 사이트도 별도의 권한 부여가 필요합니다.
정리
필요한 모든 사이트에 권한을 부여한 후 Microsoft Entra 관리자 센터에서 임시 관리자 앱을 삭제할 수 있습니다. 부여한 사이트 수준 권한은 관리자 앱과 독립적으로 적용됩니다.
참고
임시 관리자 앱은 로컬 환경에서만 Microsoft Graph API를 호출하는 데 사용됩니다. Amazon Quick은 관리자 앱 또는 해당 자격 증명을 보거나 액세스할 수 없습니다. 지식 기반을 생성할 때 Amazon Quick에는 클라이언트 앱 자격 증명만 제공됩니다.
4단계: KMS 키에 Amazon Quick 권한 부여
Amazon Quick에는 OAuth 어설션에 서명하기 위해 KMS 키를 사용할 수 있는 권한이 필요합니다. Amazon Quick Admin 콘솔에서이 권한을 부여합니다.
참고
이 단계에서는 Amazon Quick 관리자 액세스(Admin Pro 역할)가 필요합니다. 관리자가 아닌 경우 Amazon Quick 관리자에게 1단계의 KMS 키 ARN을 사용하여이 단계를 완료하도록 요청합니다.
중요
조직에서 자체 Amazon Quick IAM 서비스 역할을 관리하는 경우 다음 콘솔 단계가 적용되지 않을 수 있습니다. 대신 역할에 1단계의 KMS 키 ARN에 대한 kms:Sign 권한이 있는지 확인합니다.
-
Amazon Quick의 왼쪽 탐색 창에서 계정 관리를 선택합니다.
-
권한에서 AWS 리소스를 선택합니다.
-
AWS 리소스 페이지에서 AWS Key Management Service로 스크롤하고 확인란을 선택합니다.
-
키 선택을 선택합니다.
-
KMS 키 선택 대화 상자에서 1단계에서 기록한 KMS 키 ARN을 입력하고 추가를 선택합니다.
-
키 ARN이 목록에 나타납니다. 마침을 클릭합니다.
-
리소스 페이지 하단에서 저장을 AWS 선택합니다.
다음 단계
설정을 완료한 후 Amazon Quick에서 SharePoint Online 지식 기반 연결을 생성합니다. 지침은 Amazon Quick에서 지식 기반 생성 단원을 참조하세요.
