역할 기반 액세스 제어를 사용하여 Azure Stack Hub의 리소스에 대한 액세스 관리
Azure Stack Hub는 Microsoft Azure에서 사용하는 액세스 관리와 동일한 보안 모델 인 RBAC(역할 기반 액세스 제어)를 지원합니다. RBAC를 사용하여 구독, 리소스 및 서비스에 대한 사용자, 그룹 또는 앱 액세스를 관리할 수 있습니다.
액세스 관리의 기본 사항
RBAC(역할 기반 액세스 제어)는 환경을 보호하는 데 사용할 수 있는 세분화된 액세스 제어를 제공합니다. 특정 scope RBAC 역할을 할당하여 사용자에게 필요한 정확한 권한을 부여합니다. 역할 할당의 scope 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다. 액세스 관리에 대한 자세한 내용은 Azure Portal 문서의 역할 기반 Access Control 참조하세요.
참고
id 공급자로 Active Directory Federation Services 사용하여 Azure Stack Hub를 배포하는 경우 RBAC 시나리오에는 유니버설 그룹만 지원됩니다.
기본 제공 역할
Azure Stack Hub에는 모든 리소스 유형에 적용할 수 있는 세 가지 기본 역할이 있습니다.
- 소유자: Azure Stack RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
- 기여자: 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure Stack RBAC에서 역할을 할당할 수는 없습니다.
- 읽기 권한자: 모든 항목을 볼 수 있지만 변경할 수는 없습니다.
리소스 계층 구조 및 상속
Azure Stack Hub에는 다음과 같은 리소스 계층 구조가 있습니다.
- 각 구독은 하나의 디렉터리에 속합니다.
- 각 리소스 그룹은 하나의 구독에 속합니다.
- 각 리소스는 하나의 리소스 그룹에 속합니다.
부모 scope 부여한 액세스는 자식 범위에서 상속됩니다. 예를 들면 다음과 같습니다.
- 구독 scope Microsoft Entra 그룹에 읽기 권한자 역할을 할당합니다. 해당 그룹의 멤버는 구독에서 모든 리소스 그룹 및 리소스를 볼 수 있습니다.
- 리소스 그룹 scope 앱에 기여자 역할을 할당합니다. 앱은 해당 리소스 그룹의 모든 유형의 리소스를 관리할 수 있지만 구독의 다른 리소스 그룹은 관리할 수 없습니다.
역할 할당
사용자에게 둘 이상의 역할을 할당할 수 있으며 각 역할은 다른 scope 연결할 수 있습니다. 예를 들면 다음과 같습니다.
- TestUser-A를 구독-1에 읽기 권한 자 역할을 할당합니다.
- TestUser-A 소유자 역할을 TestVM-1에 할당합니다.
Azure 역할 할당 문서에서는 역할 보기, 할당 및 삭제에 대한 자세한 정보를 제공합니다.
사용자에 대한 액세스 권한을 설정합니다
다음 단계에서는 사용자에 대한 권한을 구성하는 방법을 설명합니다.
관리하려는 리소스에 대한 소유자 권한이 있는 계정으로 로그인합니다.
왼쪽의 탐색 창에서 리소스 그룹을 선택합니다.
사용 권한을 설정할 리소스 그룹의 이름을 선택합니다.
리소스 그룹 탐색 창에서 액세스 제어(IAM)를 선택합니다.
역할 할당 보기에는 리소스 그룹에 대한 액세스 권한이 있는 항목이 나열됩니다. 결과를 필터링하고 그룹화할 수 있습니다.액세스 제어 메뉴 모음에서 추가를 선택합니다.
사용 권한 추가 창에서 다음을 수행합니다.
- 역할 드롭다운 목록에서 할당할 역할을 선택합니다.
- 액세스 할당 드롭다운 목록에서 할당할 리소스를 선택합니다.
- 액세스 권한을 부여하려는 디렉터리에서 사용자, 그룹 또는 앱을 선택합니다. 표시 이름, 전자 메일 주소 및 개체 식별자를 사용하여 디렉터리를 검색할 수 있습니다.
저장을 선택합니다.