Azure Lighthouse 아키텍처

아티클
10/18/2023

Azure Lighthouse를 사용하면 서비스 공급자가 고객 참여 및 온보딩 환경을 간소화하는 동시에 위임된 리소스를 민첩하고 정확하게 규모에 맞게 관리할 수 있습니다. 권한 있는 사용자, 그룹 및 서비스 주체는 고객의 Microsoft Entra 테넌트에 계정이 없거나 해당 고객의 테넌트에 대한 공동 소유자가 아니더라도 고객 구독의 컨텍스트에서 직접 작업할 수 있습니다. 이 액세스를 지원하는 데 사용되는 메커니즘을 Azure 위임 리소스 관리라고 합니다.

Diagram illustrating Azure delegated resource management.

팁

Azure Lighthouse는 테넌트 간 관리를 간소화하기 위해 여러 개의 자체 Microsoft Entra 테넌트가 있는 기업 내에서 사용할 수도 있습니다.

이 항목에서는 Azure Lighthouse의 테넌트 간 관계와 고객의 테넌트에서 만들어 이러한 관계를 사용하도록 설정하는 리소스에 대해 설명합니다.

참고 항목

Azure Lighthouse에 고객을 온보딩하려면 온보딩하려는 구독(또는 온보딩하려는 리소스 그룹을 포함하는 구독)에 대해 소유자와 같이 Microsoft.Authorization/roleAssignments/write 권한을 갖는 역할이 있는 고객의 테넌트에서 게스트가 아닌 계정으로 배포해야 합니다.

고객 테넌트에서 만든 위임 리소스

고객의 구독 또는 리소스 그룹을 Azure Lighthouse에 온보딩하면 등록 정의와 등록 할당이라는 두 개의 리소스가 만들어집니다. API 및 관리 도구를 사용하여 이러한 리소스에 액세스하거나 Azure Portal에서 사용할 수 있습니다.

등록 정의

등록 정의에는 Azure Lighthouse 제안의 세부 정보(관리 테넌트 ID 및 기본 역할을 관리 테넌트의 특정 사용자, 그룹 및/또는 서비스 주체에 할당하는 권한 부여)가 포함됩니다.

등록 정의는 위임된 각 구독의 구독 수준 또는 위임된 리소스 그룹이 포함된 각 구독에서 만들어집니다. API를 사용하여 등록 정의를 만드는 경우 구독 수준에서 작업해야 합니다. 예를 들어 Azure PowerShell을 사용하면 New-AzureRmResourceGroupDeployment를 사용하는 대신, 새 등록 정의(New-AzManagedServicesDefinition)를 만들기 전에 New-AzureRmDeployment를 사용해야 합니다.

등록 할당

등록 할당은 등록 정의를 특정 범위, 즉 온보딩된 구독 및/또는 리소스 그룹에 할당합니다.

등록 할당은 위임된 각 범위에서 만들어지므로 온보딩된 항목에 따라 구독 그룹 수준 또는 리소스 그룹 수준에 있게 됩니다.

각 등록 할당은 구독 수준에서 유효한 등록 정의를 참조해야 하며, 해당 서비스 공급자에 대한 권한 부여를 위임된 범위에 연결하여 액세스 권한을 부여해야 합니다.

논리적 프로젝션

Azure Lighthouse는 리소스에 대한 한 테넌트에서 다른 테넌트로의 논리적 프로젝션을 만듭니다. 이렇게 하면 권한 있는 서비스 공급자 사용자가 위임된 고객 구독 및 리소스 그룹에서 작업할 수 있는 권한 부여를 통해 해당 사용자 고유의 테넌트에 로그인할 수 있습니다. 그러면 서비스 공급자의 테넌트에 있는 사용자가 각 개별 고객 테넌트에 로그인하지 않고도 고객을 대신하여 관리 작업을 수행할 수 있습니다.

서비스 공급자 테넌트의 사용자, 그룹 또는 서비스 주체가 고객의 테넌트에 있는 리소스에 액세스할 때마다 Azure Resource Manager에서 요청을 받습니다. Resource Manager는 고객 자신의 테넌트 내에서 사용자의 요청에 대해 수행하는 것처럼 이러한 요청을 인증합니다. Azure Lighthouse의 경우 등록 정의와 등록 할당이라는 두 개의 리소스가 고객의 테넌트에 있는지 확인하여 이를 수행합니다. 그렇다면 Resource Manager는 해당 리소스에서 정의한 정보에 따라 액세스 권한을 부여합니다.

Diagram illustrating the logical projection in Azure Lighthouse.

서비스 공급자의 테넌트에 있는 사용자의 작업은 고객의 테넌트에 저장된 활동 로그에서 추적됩니다. 이를 통해 고객은 수행된 변경 내용과 이를 변경한 사용자를 확인할 수 있습니다.

Azure Lighthouse의 작동 방식

관리 테넌트를 위한 Azure Lighthouse의 개략적인 작동 방식은 다음과 같습니다.

그룹, 서비스 주체 또는 사용자가 고객의 Azure 리소스를 관리하는 데 필요한 역할을 식별합니다.
관리되는 서비스 제안을 Azure Marketplace에 게시하거나 Azure Resource Manager 템플릿을 배포하여 이 액세스 권한을 지정하고 고객을 Azure Lighthouse에 온보딩합니다. 이 온보딩 프로세스는 위에서 설명한 두 개의 리소스(등록 정의 및 등록 할당)를 고객의 테넌트에 만듭니다.
고객이 온보딩되면 권한 있는 사용자가 관리 테넌트에 로그인하고, 정의한 액세스 권한에 따라 지정된 고객 범위(구독 또는 리소스 그룹)에서 작업을 수행합니다. 고객은 수행된 모든 작업을 검토할 수 있으며, 언제든지 액세스 권한을 제거할 수 있습니다.

대부분의 경우 한 서비스 공급자만 고객의 특정 리소스를 관리하지만, 고객은 동일한 구독 또는 리소스 그룹에 대해 여러 위임을 만들어 여러 서비스 공급자가 액세스할 수 있도록 할 수 있습니다. 이 시나리오에서는 서비스 공급자의 테넌트에서 여러 고객에게 리소스를 프로젝션하는 ISV 시나리오도 지원합니다.

다음 단계

등록 정의 및 등록 할당 작업에 대한 Azure CLI 및 Azure PowerShell 명령을 검토합니다.
Azure Lighthouse에 대한 향상된 서비스 및 시나리오에에 대해 알아봅니다.
테넌트, 사용자 및 역할이 Azure Lighthouse에서 작동하는 방법에 대해 자세히 알아봅니다.