조건이 있는 다른 사람에게 Azure 역할 할당 관리 위임

아티클
05/09/2024

관리자는 다른 사람에게 위임하려는 Azure 리소스에 대한 액세스 권한을 부여하라는 여러 요청을 받을 수 있습니다. 사용자에게 소유자 또는 사용자 액세스 관리자 역할을 할당할 수 있지만, 이러한 역할은 높은 권한이 있는 역할입니다. 이 문서에서는 조직의 다른 사용자에게 역할 할당 관리를 위임하기 위한 보다 안전한 방법을 설명하지만, 이러한 역할 할당에는 제한 사항이 추가됩니다. 예를 들어 할당할 수 있는 역할을 제한하거나 역할을 할당할 수 있는 보안 주체를 제한할 수 있습니다.

다음 다이어그램에서는 조건이 있는 대리자가 Backup 기여자 또는 Backup 읽기 권한자 역할만 마케팅 또는 영업 그룹에만 할당할 수 있는 방법을 보여 줍니다.

필수 조건

Azure 역할을 할당하려면 다음이 있어야 합니다.

역할 기반 Access Control 관리자 또는 사용자 액세스 관리자와 같은 Microsoft.Authorization/roleAssignments/write 권한

1단계: 대리자에게 필요한 사용 권한 확인

대리인에게 필요한 사용 권한을 확인하려면 다음 질문에 답변하세요.

대리자는 어떤 역할을 할당할 수 있나요?
대리자는 어떤 유형의 보안 주체에게 역할을 할당할 수 있나요?
대리자가 어떤 보안 주체에게 역할을 할당할 수 있나요?
대리자는 모든 역할 할당을 제거할 수 있나요?

대리자에게 필요한 사용 권한을 알게 되면, 다음 단계를 사용하여 대리자의 역할 할당에 조건을 추가합니다. 예제 조건은 조건을 사용하여 Azure 역할 할당 관리를 위임하는 예제를 참조하세요.

2단계: 새 역할 할당 시작

Azure Portal에 로그인합니다.
단계에 따라 역할 할당 추가 페이지를 엽니다.
역할 탭에서 권한이 있는 관리자 역할 탭을 선택합니다.
역할 기반 Access Control 관리자 역할을 선택합니다.

조건 탭이 나타납니다.

사용자 액세스 관리자와 같은 Microsoft.Authorization/roleAssignments/write 또는 Microsoft.Authorization/roleAssignments/delete 작업을 포함하는 모든 역할을 선택할 수 있지만, 역할 기반 Access Control 관리자의 사용 권한은 더 적습니다.
멤버 탭에서 대리자를 찾아서 선택합니다.

3단계: 조건 추가

조건을 추가하는 방법에는 두 가지가 있습니다. 조건 템플릿을 사용하거나 고급 조건 편집기를 사용할 수 있습니다.

템플릿
조건 편집기

수행 가능한 작업 아래의 조건 탭에서 사용자가 선택한 보안 주체에게 선택한 역할만 할당하도록 허용(권한 축소) 옵션을 선택합니다.
역할 및 보안 주체 선택을 선택합니다.

역할 할당 조건 추가 페이지에 조건 템플릿 목록이 나타납니다.

조건 템플릿을 선택한 다음, 구성을 선택합니다.

조건 템플릿	이 템플릿을 선택하여 다음 작업을 수행합니다.
역할 제한	사용자가 선택한 역할만 할당하도록 허용
역할 및 보안 주체 유형 제한	사용자가 선택한 역할만 할당하도록 허용 사용자가 선택한 보안 주체 유형(사용자, 그룹 또는 서비스 주체)에만 이러한 역할을 할당하도록 허용
역할 및 보안 주체 제한	사용자가 선택한 역할만 할당하도록 허용 사용자가 선택한 보안 주체에게만 이러한 역할을 할당하도록 허용
특정 역할을 제외하고 모두 허용	사용자가 선택한 역할을 제외한 모든 역할을 할당하도록 허용

구성 창에서 필요한 구성을 추가합니다.
저장을 선택하여 역할 할당에 조건을 추가합니다.

조건 템플릿이 시나리오에서 작동하지 않거나 더 많은 제어를 원하는 경우 조건 편집기를 사용할 수 있습니다.

조건 편집기 열기

수행 가능한 작업 아래의 조건 탭에서 사용자가 선택한 보안 주체에게 선택한 역할만 할당하도록 허용(권한 축소) 옵션을 선택합니다.
역할 및 보안 주체 선택을 선택합니다.

역할 할당 조건 추가 페이지에 조건 템플릿 목록이 나타납니다.
고급 조건 편집기 열기를 선택합니다.

역할 할당 조건 추가 페이지가 표시됩니다.
편집기 유형 옵션의 경우 기본 시각적 개체를 선택된 상태로 둡니다.

작업 추가

작업 추가 섹션에서 작업 추가를 선택합니다.

작업 선택 창이 표시됩니다. 이 창은 조건 대상이 될 역할 할당을 기준으로 작업을 필터링한 목록입니다.
조건이 true인 경우 역할 할당 만들기 또는 업데이트 작업을 선택합니다.

팁

If you select both 역할 할당 만들기 또는 업데이트 작업과 역할 할당 삭제 작업을 모두 선택하면 조건 식을 추가할 수 없습니다. 이러한 두 작업을 모두 대상으로 지정하려면 두 가지 조건을 추가해야 합니다. 자세한 내용은 예제: 역할 제한을 참조하세요.

식 작성

식 작성 섹션에서 식 추가를 선택합니다.

여기서 대리자가 추가할 수 있는 역할 할당을 제한하는 식을 작성할 수 있습니다.
특성 원본 목록에서 요청을 선택합니다.
특성 목록에서 식 왼쪽에 대해 다음 특성 중 하나를 선택합니다.
- 역할 정의 ID는 대리자가 할당할 수 있는 역할을 제한하는 데 사용됩니다.
- 보안 주체 ID는 대리자가 역할을 할당할 수 있는 특정 보안 주체를 제한하는 데 사용됩니다.
- 보안 주체 유형은 대리자가 역할을 할당할 수 있는 보안 주체 유형(사용자, 그룹 또는 서비스 주체)을 제한하는 데 사용됩니다.

연산자 목록에서 연산자를 선택합니다.

작성하려는 특성과 식에 따라 일반적으로 이러한 연산자를 선택하면 식의 오른쪽에 대해 하나 이상의 값을 선택할 수 있습니다.

Attribute	일반 연산자
역할 정의 ID	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
보안 주체 ID	ForAnyOfAnyValues:GuidEquals
주체 유형	ForAnyOfAnyValues:StringEqualsIgnoreCase

값 상자에 식의 오른쪽에 대한 하나 이상의 값을 입력합니다.
필요한 경우 추가 식을 추가합니다.

팁

여러 식을 추가하여 조건부 역할 할당 관리를 위임하는 경우 일반적으로 기본 Or 연산자 대신 식 사이에 And 연산자를 사용합니다.
저장을 선택하여 역할 할당에 조건을 추가합니다.

4단계: 대리자에게 조건이 있는 역할 할당

검토 + 할당 탭에서 역할 할당 설정을 검토합니다.
검토 + 할당을 선택하여 역할을 할당합니다.

잠시 후 대리자는 사용자의 역할 할당 조건과 함께 역할 기반 Access Control 관리자 역할이 할당됩니다.

5단계: 대리자가 조건이 있는 역할 할당

이제 대리자는 역할을 할당하는 단계를 따를 수 있습니다.

대리자가 Azure Portal에서 역할을 할당하려고 하면 할당할 수 있는 역할만 표시하도록 역할 목록이 필터링됩니다.

보안 주체에 대한 조건이 있는 경우 할당에 사용할 수 있는 보안 주체 목록도 필터링됩니다.

대리자가 API를 사용하여 조건 밖에 있는 역할을 할당하려고 하면 오류와 함께 역할 할당이 실패합니다. 자세한 내용은 증상 - 역할을 할당할 수 없음을 참조하세요.

조건 편집

조건을 편집하는 방법에는 두 가지가 있습니다. 조건 템플릿을 사용하거나 조건 편집기를 사용할 수 있습니다.

Azure Portal에서 보기, 편집 또는 삭제 조건이 있는 역할 할당에 대한 액세스 제어(IAM) 페이지를 엽니다.
역할 할당 탭을 선택하고 역할 할당을 찾습니다.
조건 열에서 보기/편집을 선택합니다.

보기/편집 링크가 표시되지 않으면 역할 할당과 동일한 범위를 확인해야 합니다.

역할 할당 조건 추가 페이지가 표시됩니다. 이 페이지는 조건이 기존 템플릿과 일치하는지 여부에 따라 다르게 표시됩니다.
조건이 기존 템플릿과 일치하는 경우 구성을 선택하여 조건을 편집합니다.
조건이 기존 템플릿과 일치하지 않는 경우 고급 조건 편집기를 사용하여 조건을 편집합니다.

예를 들어, 조건을 편집하려면 식 빌드 섹션까지 아래로 스크롤하고 특성, 연산자 또는 값을 업데이트합니다.

조건을 직접 편집하려면 코드 편집기 형식을 선택한 다음 조건에 대한 코드를 편집합니다.
완료되면 저장을 클릭하여 조건을 업데이트합니다.