클라우드용 Microsoft Defender의 권한

Defender for Cloud는 Azure의 사용자, 그룹 및 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure 역할 기반 액세스 제어(Azure RBAC)를 사용합니다.

Defender for Cloud는 리소스 구성을 평가하여 보안 문제와 취약성을 식별합니다. Defender for Cloud에서는 구독 또는 리소스의 리소스 그룹에 대해 소유자, 기여자 또는 읽기 권한자 역할이 할당된 경우에만 리소스와 관련된 정보를 볼 수 있습니다.

기본 제공 역할 외에도 Defender for Cloud와 관련된 두 가지 역할이 있습니다.

  • 보안 읽기 권한자: 이 역할에 속한 사용자는 Defender for Cloud에 대한 보기 권한이 있습니다. 사용자가 권장 사항, 경고, 보안 정책 및 보안 상태를 볼 수 있지만 변경할 수는 없습니다.
  • 보안 관리자: 이 역할에 속하는 사용자는 보안 읽기 권한자와 동일한 권한이 있으며 보안 정책을 업데이트하고 경고 및 권장 사항을 해제하고 권장 사항을 적용할 수도 있습니다.

참고

보안 역할인 Security Reader 및 Security Admin은 Defender for Cloud에서만 액세스할 수 있습니다. 보안 역할은 스토리지, 웹 & 모바일, 사물 인터넷 등의 다른 Azure 서비스에 액세스할 수 없습니다.

역할 및 허용되는 작업

다음 표에는 Defender for Cloud에서 역할과 허용되는 작업이 나와 있습니다.

작업 보안 읽기 권한자 /
판독기
보안 관리자 기여자 / 소유자 기여자 소유자
(리소스 그룹 수준) (구독 수준) (구독 수준)
이니셔티브 추가/할당(규정 준수 표준 포함) - - -
보안 정책 편집 - -
Microsoft Defender 계획 사용/사용 안 함 - -
경고 해제 - -
리소스
에 대한 보안 권장 사항 적용(및 수정 사용)
- -
경고 및 권장 사항 보기

자동 프로비저닝의 경우 필요한 특정 역할은 배포 중인 확장에 따라 달라집니다. 자세한 내용은 자동 프로비저닝 빠른 시작 페이지의 가용성 테이블의 특정 확장에 대한 탭에서 확인합니다.

참고

사용자가 자신의 작업을 완료하는 데 필요한 최소한의 역할을 할당하는 것이 좋습니다. 예를 들어, 리소스의 보안 상태에 대한 정보를 보기만 하고 권장 사항 적용이나 정책 편집 등의 조치는 취하지 않는 사용자에게 독자 역할을 할당합니다.

다음 단계

이 문서에서는 Defender for Cloud가 Azure RBAC를 사용하여 사용자에게 권한을 할당하고 각 역할에 허용되는 작업을 식별하는 방법을 설명했습니다. 이제 구독의 보안 상태를 모니터링하고, 보안 정책을 편집하고, 권장 사항을 적용하는 데 필요한 역할 할당에 익숙해졌으므로 다음을 수행하는 방법을 알아봅니다.