Azure Lab Services의 Azure 역할 기반 액세스 제어

Azure Lab Services는 Azure Lab Services의 일반적인 관리 시나리오에 대한 Azure RBAC(Azure 역할 기반 액세스 제어)를 기본적으로 제공합니다. Microsoft Entra ID에 프로필이 있는 개인은 이러한 Azure 역할을 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당하여 리소스 및 Azure Lab Services 리소스 작업에 대한 액세스를 부여하거나 거부할 수 있습니다. 이 문서에서는 Azure Lab Services에서 지원하는 다양한 기본 제공 역할에 대해 설명합니다.

Azure RBAC(역할 기반 액세스 제어)는 Azure 리소스의 세밀한 액세스를 관리하는 Azure Resource Manager 기반의 권한 부여 시스템입니다.

Azure RBAC는 적용할 권한을 간략하게 설명하는 기본 제공 역할 정의를 지정합니다. 특정 범위에 대한 역할 할당을 통해 이 역할 정의를 사용자 또는 그룹에 할당합니다. 범위는 개별 리소스, 리소스 그룹 또는 구독에 걸쳐 있을 수 있습니다. 다음 섹션에서는 Azure Lab Services가 지원하는 기본 제공 역할에 대해 알아봅니다.

자세한 내용은 Azure RBAC(Azure 역할 기반 액세스 제어)란?을 참조하세요.

참고 항목

역할 할당을 변경하는 경우 이러한 업데이트가 전파되는 데 몇 분 정도 걸릴 수 있습니다.

기본 제공 역할

이 문서에서 Azure 기본 제공 역할은 영향 범위에 따라 논리적으로 두 가지 역할 유형으로 그룹화됩니다.

• 관리자 역할: 랩 플랜 및 랩에 대한 권한에 영향을 줍니다.
• 랩 관리 역할: 랩에 대한 권한에 영향을 줍니다.

Azure Lab Services에서 지원하는 기본 제공 역할은 다음과 같습니다.

역할 유형	기본 제공 역할	설명
관리자	담당자	랩 플랜 및 랩을 만들거나 관리하고, 다른 사용자에게 권한을 부여할 수 있는 모든 권한을 부여합니다. 소유자 역할에 대해 자세히 알아봅니다.
관리자	참가자	다른 사용자에게 역할을 할당하는 것을 제외하고 랩 플랜 및 랩을 만들거나 관리할 수 있는 모든 권한을 부여합니다. 기여자 역할에 대해 자세히 알아봅니다.
관리자	Lab Services 기여자	역할 할당을 제외하고 소유자 역할과 동일한 권한을 부여합니다. Lab Services 기여자 역할에 대해 자세히 알아봅니다.
Lab Management	랩 작성자	랩을 만들기 위한 권한을 부여하고, 만드는 랩에 대한 모든 권한을 갖습니다. 랩 작성자 역할에 대해 자세히 알아봅니다.
Lab Management	랩 기여자	기존 랩을 관리할 수 있는 권한을 부여하지만 새 랩을 만들 수 있는 권한은 부여하지 않습니다. 랩 기여자 역할에 대해 자세히 알아봅니다.
Lab Management	랩 도우미	기존 랩을 볼 수 있는 권한을 부여합니다. 랩의 모든 VM을 시작, 중지 또는 이미지로 다시 설치할 수도 있습니다. 랩 도우미 역할에 대해 자세히 알아봅니다.
Lab Management	Lab Services 읽기 권한자	기존 랩을 볼 수 있는 권한을 부여합니다. Lab Services 읽기 권한자 역할에 대해 자세히 알아봅니다.

역할 할당 범위

Azure RBAC에서 범위는 액세스가 적용되는 리소스의 집합입니다. 역할을 할당할 때 필요한 액세스 권한만 부여하도록 범위를 이해하는 것이 중요합니다.

Azure에서는 관리 그룹, 구독, 리소스 그룹, 리소스 등 4개 수준에서 범위를 지정할 수 있습니다. 범위는 부모-자식 관계로 구조화되어 있습니다. 계층 구조의 각 구조 수준은 범위를 보다 구체적으로 나타냅니다. 이러한 범위 수준에서 역할을 할당할 수 있습니다. 선택한 수준은 역할이 적용되는 범위를 결정합니다. 하위 수준은 상위 수준의 역할 권한을 상속합니다. 의 범위에 대해 자세히 알아보세요.

Azure Lab Services의 경우 다음 범위를 고려합니다.

범위	설명
Subscription	모든 Azure 리소스 및 서비스에 대한 청구 및 보안을 관리하는 데 사용됩니다. 일반적으로 이 역할 할당은 구독의 모든 리소스에 대한 액세스 권한을 부여하므로 관리자만 구독 수준 액세스 권한이 있습니다.
Resource group	리소스를 그룹화하기 위한 논리 컨테이너입니다. 리소스 그룹에 대한 역할 할당은 리소스 그룹 및 포함된 모든 리소스(예: 랩 및 랩 플랜)에 대한 권한을 부여합니다.
랩 계획	랩을 만들 때 일반적인 구성 설정을 적용하는 데 사용되는 Azure 리소스입니다. 랩 플랜에 대한 역할 할당은 특정 랩 플랜에 대해서만 권한을 부여합니다.
랩	랩 가상 머신을 만들고 실행하기 위한 일반적인 구성 설정을 적용하는 데 사용되는 Azure 리소스입니다. 랩에 대한 역할 할당은 특정 랩에 대해서만 권한을 부여합니다.

Important

Azure Lab Services에서 랩 플랜과 랩은 서로 ‘형제’ 리소스입니다. 따라서 랩은 랩 플랜에서 역할 할당을 상속하지 않습니다. 그러나 리소스 그룹의 역할 할당은 해당 리소스 그룹의 랩 플랜 및 랩에서 상속됩니다.

일반적인 랩 활동에 대한 역할

다음 표에서는 일반적인 랩 활동 및 해당 활동을 수행하기 위해 사용자에게 필요한 역할을 보여 줍니다.

활동	역할 유형	역할	범위
리소스 그룹을 만들 수 있는 권한을 부여합니다. 리소스 그룹은 랩 플랜 및 랩을 보유하는 Azure의 논리적 컨테이너입니다. 랩 플랜 또는 랩을 만들려면 ‘먼저’ 이 리소스 그룹이 있어야 합니다.	관리자	소유자 또는 참가자	구독
용량 요청을 포함하여 Microsoft 지원 티켓을 제출할 수 있는 권한을 부여합니다.	관리자	소유자, 기여자, 지원 요청 기여자	구독
다음에 대한 권한을 부여합니다. - 다른 사용자에게 역할을 할당합니다. - 리소스 그룹 내에서 랩 플랜, 랩 및 기타 리소스를 만들거나 관리합니다. - 랩 플랜에서 마켓플레이스 및 사용자 지정 이미지를 사용/사용하지 않도록 설정합니다. - 랩 플랜에서 컴퓨팅 갤러리를 연결/분리합니다.	관리자	담당자	Resource group
다음에 대한 권한을 부여합니다. - 리소스 그룹 내에서 랩 플랜, 랩 및 기타 리소스를 만들거나 관리합니다. - 랩 플랜에서 Azure Marketplace 및 사용자 지정 이미지를 사용하거나 사용하지 않도록 설정합니다. 그러나 다른 사용자에게 역할을 할당하는 능력은 부여하지 ‘않습니다’.	관리자	기여자	Resource group
리소스 그룹 내의 ‘모든’ 랩 플랜에 대해 고유한 랩을 만들거나 관리할 수 있는 권한을 부여합니다.	Lab Management	랩 작성자	Resource group
특정 랩 플랜에 대한 고유한 랩을 만들거나 관리할 수 있는 권한을 부여합니다.	Lab Management	랩 작성자	랩 계획
랩을 공동 관리할 수 있는 권한을 부여하지만 랩을 만들 수 있는 권한은 부여하지 ‘않습니다’.	Lab Management	랩 기여자	랩
리소스 그룹 내의 ‘모든’ 랩에 대해 VM을 시작/중지/이미지로 다시 설치할 수 있는 권한만 부여합니다.	Lab Management	랩 도우미	Resource group
특정 랩에 대한 VM을 시작/중지/이미지로 다시 설치하기 위한 권한만 부여합니다.	Lab Management	랩 도우미	랩

Important

조직의 구독은 모든 Azure 리소스 및 서비스에 대한 청구 및 보안을 관리하는 데 사용됩니다. 구독에 대해 소유자 또는 기여자 역할을 할당할 수 있습니다. 일반적으로 구독의 모든 리소스에 대한 모든 액세스 권한이 포함되므로 관리자에게만 구독 수준 액세스 권한이 있습니다.

관리자 역할

조직의 구독 내에서 Azure Lab Services를 관리할 수 있는 권한을 사용자에게 부여하려면 소유자, 기여자 또는 Lab Services 기여자 역할을 할당해야 합니다.

‘리소스 그룹’에 이러한 역할을 할당합니다. 리소스 그룹 내의 랩 플랜 및 랩은 이러한 역할 할당을 상속합니다.

다음 표에서는 리소스 그룹에 할당된 다른 관리자 역할을 비교합니다.

랩 플랜/랩	활동	소유자	기여자	Lab Services 기여자
랩 계획	리소스 그룹 내의 모든 랩 플랜 보기	예	네	예
랩 계획	리소스 그룹 내의 모든 랩 플랜 만들기, 변경 또는 삭제	예	네	예
랩 계획	리소스 그룹 내의 랩 플랜에 역할 할당	예	없음	아니요
랩	리소스 그룹 내에서 랩 만들기**	예	네	예
랩	리소스 그룹 내에서 다른 사용자의 랩 보기	예	네	예
랩	리소스 그룹 내에서 다른 사용자의 랩 변경 또는 삭제	예	네	아니요
랩	리소스 그룹 내의 다른 사용자 랩에 역할 할당	예	없음	아니요

** 사용자에게는 사용자가 만든 랩의 역할을 보고, 변경하고, 삭제하고, 할당할 수 있는 권한이 자동으로 부여됩니다.

소유자 역할

소유자 역할을 할당하여 사용자에게 랩 플랜 및 랩을 만들거나 관리하고, 다른 사용자에게 권한을 부여할 수 있는 모든 권한을 부여합니다. 사용자가 리소스 그룹에 대해 소유자 역할이 있는 경우 리소스 그룹 내의 모든 리소스에서 다음 활동을 수행할 수 있습니다.

• 랩 관련 리소스를 관리할 수 있도록 관리자에게 역할을 할당합니다.
• 랩 관리자에게 역할을 할당하여 랩을 만들고 관리할 수 있도록 합니다.
• 랩 플랜 및 랩을 만듭니다.
• 컴퓨팅 갤러리 연결 또는 분리, 랩 플랜에서 Azure Marketplace 및 사용자 지정 이미지 활성화 또는 비활성화 등 모든 랩 플랜에 대한 설정을 보고, 삭제하고, 변경합니다.
• 모든 랩에 대한 설정을 보고, 삭제하고, 변경합니다.

주의

리소스 그룹에 소유자 또는 기여자 역할을 할당하는 경우 이러한 권한은 리소스 그룹에 있는 랩이 아닌 관련 리소스에도 적용됩니다. 예를 들어 가상 네트워크, 스토리지 계정, 컴퓨팅 갤러리 등의 리소스가 여기에 해당합니다.

기여자 역할

기여자 역할을 할당하여 리소스 그룹 내에서 랩 플랜 및 랩을 만들거나 관리할 수 있는 모든 권한을 사용자에게 부여합니다. 기여자 역할은 다음을 ‘제외하고’ 소유자 역할과 동일한 권한을 가집니다.

• 역할 할당 수행

Lab Services 기여자 역할

Lab Services 기여자는 가장 제한적인 관리자 역할입니다. Lab Services 기여자 역할을 할당하여 다음을 ‘제외하고’ 소유자 역할과 동일한 활동을 사용하도록 설정합니다.

• 역할 할당 수행
• 다른 사용자의 랩 변경 또는 삭제

참고 항목

Lab Services 기여자 역할은 Azure Lab Services와 관련이 없는 리소스를 변경할 수 없습니다. 반면에 기여자 역할은 리소스 그룹 내의 모든 Azure 리소스를 변경할 수 있습니다.

Lab Management 역할

다음 역할을 사용하여 사용자에게 랩을 만들고 관리할 수 있는 권한을 부여합니다.

• 랩 작성자
• 랩 기여자
• 랩 도우미
• Lab Services 읽기 권한자

이러한 랩 관리 역할은 랩 플랜을 볼 수 있는 권한만 부여합니다. 이러한 역할은 랩 플랜을 생성, 변경, 삭제하거나 랩 플랜에 역할을 할당하는 것을 허용하지 않습니다. 또한 이러한 역할이 있는 사용자는 컴퓨팅 갤러리를 연결하거나 분리할 수 없으며 가상 머신 이미지를 사용하거나 사용하지 않도록 설정할 수 없습니다.

랩 작성자 역할

랩 작성자 역할을 할당하여 사용자에게 랩을 만들기 위한 권한과 만든 랩에 대한 모든 권한을 부여합니다. 예를 들어 랩의 설정을 변경하고, 랩을 삭제하고, 다른 사용자에게 랩에 대한 권한을 부여할 수 있습니다.

리소스 그룹 또는 랩 플랜에서 랩 작성자 역할을 할당합니다.

다음 표에서는 리소스 그룹 또는 랩 플랜에 대한 랩 작성자 역할 할당을 비교합니다.

활동	Resource group	랩 계획
리소스 그룹 내에서 랩 만들기**	예	예
만든 랩 보기	예	예
리소스 그룹 내에서 다른 사용자의 랩 보기	예	아니요
사용자가 만든 랩 변경 또는 삭제	예	예
리소스 그룹 내에서 다른 사용자의 랩 변경 또는 삭제	아니요	아니요
리소스 그룹 내의 다른 사용자 랩에 역할 할당	아니요	아니요

** 사용자에게는 사용자가 만든 랩의 역할을 보고, 변경하고, 삭제하고, 할당할 수 있는 권한이 자동으로 부여됩니다.

랩 기여자 역할

랩 기여자 역할을 할당하여 사용자에게 기존 랩을 관리할 수 있는 권한을 부여합니다.

‘랩’에서 랩 기여자 역할을 할당합니다.

랩에서 랩 기여자 역할을 할당하면 사용자가 할당된 랩을 관리할 수 있습니다. 특히 사용자는 다음을 수행할 수 있습니다.

• 할당된 랩을 보거나, 모든 설정을 변경하거나, 삭제할 수 있습니다.
• 사용자는 다른 사용자의 랩을 볼 수 없습니다.
• 새 랩을 만들 수 없습니다.

랩 도우미 역할

랩 도우미 역할을 할당하여 사용자에게 랩을 보고, 랩에 대한 랩 가상 머신을 시작 및 중지하고 이미지로 다시 설치할 수 있는 권한을 부여합니다.

리소스 그룹 또는 랩에서 랩 도우미 역할을 할당합니다.

리소스 그룹에 랩 도우미 역할을 할당하면 사용자는 다음을 수행할 수 있습니다.

• 리소스 그룹 내의 모든 랩을 보고, 각 랩에 대한 랩 가상 머신을 시작 및 중지하고 이미지로 다시 설치할 수 있습니다.
• 랩을 삭제하거나 변경할 수 없습니다.

랩에서 랩 도우미 역할을 할당하면 사용자는 다음을 수행할 수 있습니다.

• 할당된 랩을 보고, 랩 가상 머신을 시작 또는 중지하거나 이미지로 다시 설치할 수 있습니다.
• 랩을 삭제하거나 변경할 수 없습니다.
• 새 랩을 만들 수 없습니다.

랩 도우미 역할이 있는 경우 액세스 권한이 부여된 다른 랩을 보려면 Azure Lab Services 웹 사이트에서 모든 랩 필터를 선택해야 합니다.

Lab Services 읽기 권한자 역할

Lab Services 읽기 권한자 역할을 할당하여 사용자에게 기존 랩을 보기 위한 권한을 부여합니다. 사용자는 기존 랩을 변경할 수 없습니다.

리소스 그룹 또는 랩에서 Lab Services 읽기 권한자 역할을 할당합니다.

리소스 그룹에서 Lab Services 읽기 권한자 역할을 할당하면 사용자는 다음을 수행할 수 있습니다.

• 리소스 그룹 내의 모든 랩을 봅니다.

랩에서 Lab Services 읽기 권한자 역할을 할당하면 사용자는 다음을 수행할 수 있습니다.

• 특정 랩만 봅니다.

IAM(ID 및 액세스 관리)

Azure Portal의 액세스 제어(IAM) 페이지는 Azure Lab Services 리소스에 대한 Azure 역할 기반 액세스 제어를 구성하는 데 사용됩니다. Active Directory에서 개인 및 그룹에 대해 기본 제공 역할을 사용할 수 있습니다. 다음 스크린샷은 Azure Portal에서 액세스 제어(IAM)를 사용하는 Active Directory 통합(Azure RBAC)을 보여 줍니다.

세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

리소스 그룹 및 랩 플랜 구조

조직은 리소스 그룹 및 랩 플랜의 구조를 계획하기 위해 미리 시간을 투자해야 합니다. 리소스 그룹의 모든 리소스에도 권한이 적용되므로 리소스 그룹에 역할을 할당할 때 이렇게 하는 것이 특히 중요합니다.

사용자에게 적절한 리소스에 대한 권한만 부여되도록 하려면 다음을 수행합니다.

• 랩 관련 리소스만 포함하는 리소스 그룹을 만듭니다.

• 액세스 권한이 있어야 하는 사용자에 따라 랩 플랜 및 랩을 별도의 리소스 그룹으로 구성합니다.

예를 들어 부서별로 별도의 리소스 그룹을 만들어 각 부서의 랩 리소스를 격리할 수 있습니다. 그런 다음, 한 부서의 랩 작성자에게 리소스 그룹에 대한 권한을 부여하여 해당 부서의 랩 리소스에 대한 액세스 권한만 부여할 수 있습니다.

Important

랩 플랜 또는 랩을 만든 후에는 다른 리소스 그룹으로 이동할 수 없으므로 리소스 그룹 및 랩 플랜 구조를 미리 계획합니다.

여러 리소스 그룹에 액세스

사용자에게 여러 리소스 그룹에 대한 액세스 권한을 부여할 수 있습니다. Azure Lab Services 웹 사이트에서 사용자는 리소스 그룹 목록에서 보려는 랩을 선택할 수 있습니다.

여러 랩 플랜에 액세스

사용자에게 여러 랩 플랜에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 둘 이상의 랩 플랜이 포함된 리소스 그룹의 사용자에게 랩 작성자 역할을 할당하는 경우가 여기에 해당합니다. 그러면 해당 사용자는 새 랩을 만들 때 랩 플랜 목록에서 선택할 수 있습니다.

다음 단계

• Azure RBAC(역할 기반 액세스 제어)란?
• 랩 계정에서 랩 플랜으로 역할 할당 이동
• Azure RBAC의 범위 이해