이 문서에서는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하기 위한 몇 가지 모범 사례를 설명합니다. 이러한 모범 사례는 Azure RBAC에 대한 Microsoft와 고객의 경험에서 비롯된 것입니다.
사용자에게 필요한 권한만 부여
Azure RBAC를 사용하면 팀 내에서 업무를 분리하고 사용자에게 해당 작업을 수행하는 데 필요한 만큼의 권한만 부여할 수 있습니다. Azure 구독 또는 리소스에서 모든 사람에게 무제한 권한을 제공하는 대신, 특정 범위에서 특정 작업만 허용할 수 있습니다.
액세스 제어 전략을 계획할 때 작업을 완료하는 데 필요한 최소한의 권한만 사용자에게 부여하는 것이 가장 좋습니다. 처음에는 더 넓은 범위에서 더 넓은 역할을 할당하는 것이 더 편리하게 보이겠지만, 이렇게 하지 마세요. 사용자 지정 역할을 만들 때 사용자에게 필요한 권한만 포함합니다. 역할과 범위를 제한함으로써 보안 주체가 손상된 경우 리소스를 위험으로부터 제한할 수 있습니다.
손상된 소유자에 의한 위반 가능성을 줄이려면 최대 3개의 구독 소유자가 있어야 합니다. 이 권장 사항은 클라우드용 Microsoft Defender에서 모니터링할 수 있습니다. 클라우드용 Defender의 기타 ID 및 액세스 권장 사항은 보안 권장 사항 - 참조 가이드를 참조하세요.
권한 있는 관리자 역할 할당 제한
일부 역할은 권한 있는 관리자 역할로 식별됩니다. 보안 태세를 개선하기 위해 다음 작업을 수행하는 것이 좋습니다.
권한 있는 계정을 악의적인 사이버 공격으로부터 보호하기 위해 Microsoft Entra PIM(Privileged Identity Management)를 사용하여 권한 노출 시간을 줄이고 보고서 및 경고를 통해 해당 사용에 대한 가시성을 증가시킬 수 있습니다. PIM은 Microsoft Entra ID 및 Azure 리소스에 대한 Just-In-Time 권한 액세스를 제공하여 권한 있는 계정을 보호합니다. 권한이 자동으로 취소된 후에 액세스 시간이 바인딩될 수 있습니다.
사용자 지정 역할을 만들 때 와일드카드(*) 문자를 사용하여 권한을 정의할 수 있습니다. 와일드카드(*) 문자를 사용하는 대신 Actions 및 DataActions를 명시적으로 지정하는 것이 좋습니다. 이후 Actions 또는 DataActions를 통해 부여된 추가 액세스 및 사용 권한은 와일드카드를 사용하는 원치 않는 동작일 수 있습니다. 자세한 내용은 Azure 사용자 지정 역할을 참조하세요.