위임에 대한 액세스 권한 제거

  • 아티클

고객의 구독 또는 리소스 그룹이 Azure Lighthouse의 서비스 공급자에게 위임된 후 필요한 경우 위임이 제거될 수 있습니다. 위임이 제거되면 서비스 공급자 테넌트의 사용자에게 이전에 부여되었던 Azure 위임된 리소스 관리 액세스 권한이 더 이상 적용되지 않습니다.

사용자에게 적절한 권한이 있는 경우 고객 테넌트 또는 서비스 공급자 테넌트의 사용자가 위임 제거를 수행할 수 있습니다.

이 항목에서는 서비스 공급자 및 고객만 언급하지만 여러 테넌트를 관리하는 기업에서도 동일한 프로세스를 사용할 수 있습니다.

Important

고객 구독에 동일한 서비스 공급자의 여러 위임이 있는 경우 하나의 위임을 제거하면 사용자가 다른 위임을 통해 부여된 액세스 권한을 잃게 될 수 있습니다. 이는 동일한 principalIdroleDefinitionId 조합이 여러 위임에 포함된 다음 위임 중 하나가 제거되는 경우에만 발생합니다. 이 문제를 해결하려면 제거하지 않는 위임에 대한 온보딩 프로세스를 반복합니다.

고객

소유자와 같이 Microsoft.Authorization/roleAssignments/write 권한이 포함된 역할이 있는 고객 테넌트의 사용자는 해당 구독(또는 해당 구독의 리소스 그룹)에 대한 서비스 공급자 액세스 권한을 제거할 수 있습니다. 이렇게 하기 위해 사용자는 Azure Portal의 서비스 공급자 페이지로 이동하여 서비스 공급자 제품 화면에서 제품을 찾고 해당 제품의 행에서 휴지통 아이콘을 선택할 수 있습니다.

삭제를 확인한 후에는 서비스 공급자 테넌트에 있는 사용자가 이전에 위임된 리소스에 액세스할 수 없게 됩니다.

서비스 제공자

관리 테넌트의 사용자는 고객의 리소스에 대한 관리되는 서비스 등록 할당 삭제 역할이 부여된 경우 위임된 리소스에 대한 액세스 권한을 제거할 수 있습니다. 서비스 공급자 사용자에게 이 역할이 할당되지 않은 경우 고객 테넌트의 사용자만이 위임을 제거할 수 있습니다.

이 예제는 온보딩 프로세스 중에 매개 변수 파일에 포함될 수 있는 관리되는 서비스 등록 할당 삭제 역할을 부여하는 할당을 보여 줍니다.

    "authorizations": [ 
        { 
            "principalId": "cfa7496e-a619-4a14-a740-85c5ad2063bb", 
            "principalIdDisplayName": "MSP Operators", 
            "roleDefinitionId": "91c1777a-f3dc-4fae-b103-61d183457e46" 
        } 
    ]

이 역할은 Azure Marketplace에 게시할 관리되는 서비스 제품을 만들권한 부여에서 선택할 수도 있습니다.

이 권한이 있는 사용자는 다음 방법 중 하나를 사용하여 위임을 제거할 수 있습니다.

Azure Portal

  1. 내 고객 페이지로 이동합니다.
  2. 위임을 선택합니다.
  3. 제거하려는 위임을 찾은 다음 해당 행에 표시 되는 휴지통 아이콘을 선택합니다.

PowerShell

# Log in first with Connect-AzAccount if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory 

Login-AzAccount

# Select the subscription that is delegated - or contains the delegated resource group(s)

Select-AzSubscription -SubscriptionName "<subscriptionName>"

# Get the registration assignment

Get-AzManagedServicesAssignment -Scope "/subscriptions/{delegatedSubscriptionId}"

# Delete the registration assignment

Remove-AzManagedServicesAssignment -Name "<Assignmentname>" -Scope "/subscriptions/{delegatedSubscriptionId}"

Azure CLI

# Log in first with az login if you're not using Cloud Shell

# Sign in as a user from the managing tenant directory

az login

# Select the subscription that is delegated – or contains the delegated resource group(s)

az account set -s <subscriptionId/name>

# List registration assignments

az managedservices assignment list

# Delete the registration assignment

az managedservices assignment delete --assignment <id or full resourceId>

다음 단계