다음을 통해 공유

여러 비즈니스 사용자를 위한 RBAC 구성 예제

  • 아티클

많은 Azure Sphere 고객은 엔지니어링 팀이 엔지니어링 소유 디바이스 및 디바이스 그룹에서 개발 관련 기능을 수행할 수 있도록 RBAC 액세스를 구성하려고 하지만 엔지니어링 팀이 일반적으로 운영 팀에서 관리하는 프로덕션 디바이스 그룹에 직접 액세스하지 못하도록 합니다. 다음 시나리오에서는 RBAC 사용자 그룹 및 권한 집합을 구성하여 엔지니어링 팀과 운영 팀 모두에 필요한 기능 및 리소스에만 액세스할 수 있도록 하는 방법을 자세히 설명합니다. 이 시나리오에는 다음과 같은 일반적인 작업 책임이 있는 3개의 서로 다른 비즈니스 사용자 그룹이 있습니다.

  • Azure Sphere 관리자 사용자 – 새 Azure Sphere 카탈로그 및 해당 자식 리소스를 만들고, 구성하고, 관리해야 하는 사용자를 위한 가장 높은 권한의 Azure Sphere 사용자 그룹이며, 여기에는 디바이스를 카탈로그에 클레임(클레임된 디바이스를 해당 카탈로그와 영구적으로 연결) 및 기존 Azure Sphere(레거시) 테넌트가 Azure Sphere(통합) 카탈로그에 통합되는 것이 포함됩니다.
  • 제품 팀 사용자 – 이미지 및 인증서와 같이 카탈로그 리소스 자체에 속하는 항목에 대한 권한이 필요하지만 카탈로그에 속하는 모든 디바이스 그룹(예: 잠재적으로 중요한 프로덕션 디바이스 그룹)에 대한 권한이 없어야 하는 사용자를 위한 것입니다. 이 사용자 그룹은 디바이스 기능 파일을 다운로드하고, 개발, 필드 테스트 및 필드 테스트 OS 평가 디바이스 그룹 간에 디바이스를 이동하고, 새 소프트웨어를 배포하고, 잠재적으로 현장 테스트 및 필드 테스트 OS 평가 디바이스 그룹에서 크래시 덤프 파일을 수집하지만 프로덕션 및 프로덕션 OS 평가 디바이스 그룹에서 프로덕션 디바이스를 관리할 권한이 없는 제품 개발 사용자에게 특히 적합합니다.
  • Operations Team 사용자 – 프로덕션 디바이스 플릿을 관리하는 사용자, 새 소프트웨어 및 펌웨어 이미지를 배포할 프로덕션 디바이스 그룹에 대한 권한이 필요하고, 잠재적으로 크래시 덤프 파일 수집을 사용하도록 설정하고, OS 소매 eval 릴리스가 프로덕션 OS 평가 디바이스 그룹에서 예상대로 작동하는지 유효성을 검사합니다.

샘플 RBAC 구성.

경고

  • Azure Sphere(레거시) 테넌트 를 Azure Sphere(통합) 카탈로그에 통합해야 하는 사용자는 테넌트가 속한 구독을 소유하는 리소스 그룹에 Azure Sphere 기여자 역할을 적용해야 합니다.

  • 사용자에게 제품 또는 디바이스 그룹에서만 RBAC 역할을 할당할 수 있지만 부모 카탈로그는 할당할 수 없지만 사용자는 Azure 홈 화면에서 제품 또는 디바이스 그룹 또는 부모 카탈로그를 검색할 수 없습니다. 직접 가리키는 URL을 통해서만 제품 또는 디바이스 그룹에 액세스할 수 있습니다. 사용자 편의를 위해 모든 사용자에게 카탈로그에 대한 Azure Sphere 읽기 권한자 이상의 액세스 권한이 있는 것이 좋습니다.