다음을 통해 공유


조건을 사용하여 Azure 역할 할당 관리를 위임하는 예

이 문서에는 조건을 사용하여 Azure 역할 할당 관리를 다른 사용자에게 위임하는 방법의 예가 나열되어 있습니다.

필수 조건

역할 할당 조건을 추가하거나 편집하기 위한 사전 요구 사항은 조건 및 사전 요구 사항을 참조하세요.

예: 역할 제한

이 조건을 사용하면 대리자는 백업 기여자 또는 백업 읽기 권한자 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

백업 기여자 또는 백업 읽기 권한자 역할로 제한된 역할 할당 다이어그램

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 역할 제한
역할 Backup 기여자
Backup 읽기 권한자

예: 역할 및 주체 형식 제한

이 조건을 사용하면 대리자는 백업 기여자 또는 백업 읽기 권한자 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다. 또한 대리자는 이러한 역할을 사용자 또는 그룹 형식의 주체에게만 할당할 수 있습니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

백업 기여자 또는 백업 읽기 권한자 역할과 사용자 또는 그룹 주체 형식이 제한된 역할 할당 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 역할 및 주체 형식 제한
역할 Backup 기여자
Backup 읽기 권한자
보안 주체 유형 사용자
Groups

예: 역할 및 특정 그룹 제한

이 조건을 사용하면 대리자는 백업 기여자 또는 백업 읽기 권한자 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다. 또한 대리자는 마케팅(28c35fea-2099-4cf5-8ad9-473547bc9423) 또는 영업(86951b8b-723a-407b-a74a-1bca3f0c95d0)이라는 특정 그룹에만 이러한 역할을 할당할 수 있습니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

백업 기여자 또는 백업 읽기 권한자 역할과 마케팅 또는 영업 그룹으로 제한된 역할 할당 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 역할 및 주체 제한
역할 Backup 기여자
Backup 읽기 권한자
보안 주체 Marketing
매출

예: 가상 머신 관리 제한

이 조건을 사용하면 대리자는 가상 머신 관리자 로그인 또는 가상 머신 사용자 로그인 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다. 또한 대리자는 Dara(ea585310-c95c-4a68-af22-49af4363bbb1)라는 특정 사용자에게만 이러한 역할을 할당할 수 있습니다.

이 조건은 대리자가 방금 만든 가상 머신에 대해 자신에게 가상 머신 로그인 역할을 할당하도록 허용하려는 경우에 유용합니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

가상 머신 관리자 로그인 또는 가상 머신 사용자 로그인 역할과 특정 사용자로 제한된 역할 할당 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 역할 및 주체 제한
역할 가상 머신 관리자 로그인
가상 머신 사용자 로그인
보안 주체 Dara

예: AKS 클러스터 관리 제한

이 조건을 사용하면 대리인은 Azure Kubernetes Service RBAC 관리자, Azure Kubernetes Service RBAC 클러스터 관리자, Azure Kubernetes Service RBAC 읽기 권한자 또는 Azure Kubernetes Service RBAC 작성자 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다. 또한 대리자는 Dara(ea585310-c95c-4a68-af22-49af4363bbb1)라는 특정 사용자에게만 이러한 역할을 할당할 수 있습니다.

이 조건은 대리자가 방금 만든 클러스터에 대해 AKS(Azure Kubernetes Service) 클러스터 데이터 평면 권한 부여 역할을 자신에게 할당하도록 허용하려는 경우에 유용합니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Azure Kubernetes Service RBAC 관리자, Azure Kubernetes Service RBAC 클러스터 관리자, Azure Kubernetes Service RBAC 읽기 권한자 또는 Azure Kubernetes Service RBAC 작성자 역할 및 특정 사용자로 제한된 역할 할당 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

예: ACR 관리 제한

이 조건을 사용하면 대리자는 AcrPull 역할에 대한 역할 할당만 추가하거나 제거할 수 있습니다. 또한 대리자는 서비스 주체 형식의 주체에게만 이러한 역할을 할당할 수 있습니다.

이 조건은 개발자가 ACR(Azure Container Registry)에서 이미지를 가져올 수 있도록 관리 ID 자체에 AcrPull 역할을 할당하도록 허용하려는 경우에 유용합니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

AcrPull 역할 및 서비스 주체 형식으로 제한된 역할 할당 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 역할 및 주체 형식 제한
역할 AcrPull
보안 주체 유형 서비스 주체

예: 추가 역할 할당 제한

이 조건을 사용하면 대리자는 백업 기여자 또는 백업 읽기 권한자 역할에 대한 역할 할당만 추가할 수 있습니다. 대리자는 모든 역할 할당을 제거할 수 있습니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write

백업 기여자 또는 백업 읽기 권한자 역할로 제한된 역할 할당 추가 및 제거 다이어그램.

없음

예: 대부분의 역할을 허용하지만 다른 사람이 역할을 할당하는 것을 허용하지 않음

이 조건을 사용하면 대리자가 소유자, 역할 기반 Access Control 관리자사용자 액세스 관리자 역할을 제외한 모든 역할에 대한 역할 할당을 추가하거나 제거할 수 있습니다.

이 조건은 대리자가 대부분의 역할을 할당하도록 허용하지만 다른 대리자가 역할을 할당하는 것을 허용하지 않으려는 경우에 유용합니다.

참고 항목

이 조건은 주의해서 사용해야 합니다. 역할 할당을 만들 수 있는 권한이 포함된 새 기본 제공 또는 사용자 지정 역할이 나중에 추가되는 경우 이 조건으로 인해 대리자가 역할을 할당할 수 있습니다. 새로운 기본 제공 역할 또는 사용자 지정 역할을 포함하려면 조건을 업데이트해야 합니다.

다음 작업을 포함하는 대리자에 대한 모든 역할 할당에 이 조건을 추가해야 합니다.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

소유자, 역할 기반 Access Control 관리자 및 사용자 액세스 관리자를 제외한 모든 역할에 대한 역할 할당 추가 및 제거 다이어그램.

Azure Portal 및 조건 템플릿을 사용하여 이 조건을 추가하기 위한 설정은 다음과 같습니다.

조건 설정
템플릿 특정 역할을 제외하고 모두 허용
역할 제외 담당자
역할 기반 액세스 제어 관리자
사용자 액세스 관리자

다음 단계