Azure Lighthouse 시나리오의 테넌트, 역할 및 사용자
Azure Lighthouse를 위해 고객을 온보딩하기 전에 Microsoft Entra 테넌트, 사용자 및 역할이 작동하는 방식과 Azure Lighthouse 시나리오에서 이러한 항목을 사용할 수 있는 방법을 이해하는 것이 중요합니다.
테넌트는 Microsoft Entra ID의 신뢰할 수 있는 전용 인스턴스입니다. 일반적으로 하나의 Azure 테넌트는 단일 조직을 나타냅니다. Azure Lighthouse를 통해 한 테넌트에서 다른 테넌트로 리소스를 논리적으로 프로젝션할 수 있습니다. 이렇게 하면 관리 테넌트의 사용자(예: 서비스 공급자에 속하는 사용자)는 고객 테넌트의 위임된 리소스에 액세스할 수 있고, 여러 테넌트가 있는 엔터프라이즈에서 관리 작업을 중앙에서 수행할 수 있습니다.
이러한 논리적 프로젝션을 수행하려면 고객 테넌트의 구독(또는 구독 내의 하나 이상의 리소스 그룹)을 Azure Lighthouse로 온보딩해야 합니다. 이 온보딩 프로세스는 Azure Resource Manager 템플릿을 통해 수행하거나 Azure Marketplace에 퍼블릭 또는 프라이빗 제품을 게시하여 수행할 수 있습니다.
온보딩 방법 중 하나를 사용하여 권한 부여를 정의해야 합니다. 각 권한 부여에는 위임된 리소스에 대해 부여될 특정 권한을 정의하는 기본 제공 역할과 결합된 principalId(관리 테넌트의 Microsoft Entra 사용자, 그룹 또는 서비스 주체)가 포함됩니다.
참고 항목
명시적으로 지정되지 않은 경우 Azure Lighthouse 설명서의 “사용자”에 대한 참조는 권한 부여의 Microsoft Entra 사용자, 그룹 또는 서비스 주체에 적용될 수 있습니다.
사용자 및 역할을 정의하기 위한 모범 사례
권한 부여를 만들 때 다음 모범 사례를 따르는 것이 좋습니다.
- 대부분의 경우 일련의 개별 사용자 계정이 아닌 Microsoft Entra 사용자 그룹 또는 서비스 주체에 권한을 할당하는 것이 좋습니다. 이렇게 하면 개별 액세스 요구 사항이 변경될 때마다 위임을 업데이트하지 않고도 테넌트의 Microsoft Entra ID를 통해 개별 사용자에 대한 액세스를 추가하거나 제거할 수 있습니다.
- 최소 권한 원칙을 따릅니다. 의도치 않은 오류가 발생할 가능성을 줄이려면 사용자에게 특정 작업을 수행하는 데 필요한 권한만 있어야 합니다. 자세한 내용은 권장 보안 방법을 참조하세요.
- 필요한 경우 위임에 대한 액세스 권한을 제거할 수 있도록 관리형 서비스 등록 할당 삭제 역할이 있는 권한 부여를 포함합니다. 이 역할이 할당되지 않으면 위임된 리소스에 대한 액세스 권한은 고객 테넌트의 사용자만 제거할 수 있습니다.
- Azure Portal에서 내 고객 페이지를 볼 수 있어야 하는 모든 사용자에게 읽기 권한자 역할(또는 읽기 권한자 액세스를 포함하는 다른 기본 제공 역할)이 있어야 합니다.
Important
Microsoft Entra 그룹에 대한 사용 권한을 추가하려면 그룹 형식이 보안으로 설정되어 있어야 합니다. 이 옵션은 그룹을 만들 때 선택됩니다. 자세한 내용은 Microsoft Entra ID를 사용하여 기본 그룹 만들기 및 멤버 추가를 참조하세요.
Azure Lighthouse에 대한 역할 지원
권한 부여를 정의할 때 각 사용자 계정에는 Azure 기본 제공 역할 중 하나를 할당해야 합니다. 사용자 지정 역할과 클래식 구독 관리자 역할은 지원되지 않습니다.
모든 기본 제공 역할이 현재 Azure Lighthouse에서 지원되지만 다음과 같은 예외가 적용됩니다.
소유자 역할은 지원되지 않습니다.
사용자 액세스 관리자 역할은 지원되지만, 고객 테넌트에서 관리 ID에 역할을 할당하는 제한된 목적으로만 사용할 수 있습니다. 이 역할에서 일반적으로 부여하는 다른 사용 권한은 적용되지 않습니다. 이 역할이 있는 사용자를 정의하는 경우 이 사용자가 관리 ID에 할당할 수 있는 기본 제공 역할도 지정해야 합니다.
DataActions
권한이 있는 역할은 지원되지 않습니다.다음 작업을 포함하는 역할은 지원되지 않습니다.
- */write
- */delete
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Important
역할을 할당할 때 각 역할에 지정된 작업을 검토해야 합니다. DataActions
권한이 있는 역할은 지원되지 않지만 지원되는 역할에 포함된 작업을 통해 데이터에 액세스할 수 있는 경우가 있습니다. 이는 일반적으로 사용자의 ID를 통해 액세스하지 않고 액세스 키를 통해 데이터가 노출될 때 발생합니다. 예를 들어 Virtual Machine Contributor 역할에는 특정 고객 데이터를 검색하는 데 사용할 수 있는 스토리지 계정 액세스 키를 반환하는 Microsoft.Storage/storageAccounts/listKeys/action
작업이 포함됩니다.
경우에 따라 이전에 Azure Lighthouse에서 지원되었던 역할을 사용할 수 없게 될 수 있습니다. 예를 들어 이전에 해당 권한이 없었던 역할에 DataActions
권한이 추가되면 새 위임을 온보딩할 때 해당 역할을 더 이상 사용할 수 없습니다. 이미 역할이 할당된 사용자는 이전에 위임된 리소스에서 계속 작업할 수 있지만 DataActions
권한을 사용하는 작업은 수행할 수 없습니다.
새로운 적용 가능한 기본 제공 역할이 Azure에 추가되면 Azure Resource Manager 템플릿을 사용하여 고객을 온보딩할 때 할당될 수 있습니다. 관리형 서비스 제품을 게시할 때 파트너 센터에서 새로 추가된 역할을 사용할 수 있게 되기 전에 지연이 발생할 수 있습니다. 마찬가지로 역할을 사용할 수 없게 되어도 파트너 센터에서 계속 볼 수 있지만 이러한 역할을 사용하여 새 제안을 게시할 수 없습니다.
Microsoft Entra 테넌트 간에 위임된 구독 전송
구독이 다른 Microsoft Entra 테넌트 계정으로 전송되는 경우 Azure Lighthouse 온보딩 프로세스를 통해 생성된 등록 정의 및 등록 할당 리소스가 보존됩니다. 즉, Azure Lighthouse를 통해 테넌트 관리에 부여된 액세스 권한은 해당 구독(또는 해당 구독 내의 위임된 리소스 그룹)에 계속 적용됩니다.
유일한 예외는 구독이 이전에 위임된 Microsoft Entra 테넌트로 전송되는 경우입니다. 이 경우 구독이 Azure Lighthouse를 통해 위임되지 않고 해당 테넌트에 직접 속하기 때문에 해당 테넌트용 위임 리소스가 제거되고 Azure Lighthouse를 통해 부여된 액세스 권한이 더 이상 적용되지 않습니다. 그러나 해당 구독이 다른 관리 테넌트에게도 위임된 경우 다른 관리 테넌트는 구독에 대한 동일한 액세스 권한을 유지합니다.
다음 단계
- Azure Lighthouse에 대한 권장 보안 방법에 대해 알아봅니다.
- Azure Resource Manager 템플릿을 사용하거나 프라이빗 또는 퍼블릭 관리형 서비스 제품을 Azure Marketplace에 게시하여 Azure Lighthouse에 고객을 온보딩합니다.