조건이 있는 다른 사람에게 Azure 역할 할당 관리 위임
관리자는 다른 사람에게 위임하려는 Azure 리소스에 대한 액세스 권한을 부여하라는 여러 요청을 받을 수 있습니다. 사용자에게 소유자 또는 사용자 액세스 관리자 역할을 할당할 수 있지만, 이러한 역할은 높은 권한이 있는 역할입니다. 이 문서에서는 조직의 다른 사용자에게 역할 할당 관리를 위임하기 위한 보다 안전한 방법을 설명하지만, 이러한 역할 할당에는 제한 사항이 추가됩니다. 예를 들어 할당할 수 있는 역할을 제한하거나 역할을 할당할 수 있는 보안 주체를 제한할 수 있습니다.
다음 다이어그램에서는 조건이 있는 대리자가 Backup 기여자 또는 Backup 읽기 권한자 역할만 마케팅 또는 영업 그룹에만 할당할 수 있는 방법을 보여 줍니다.
필수 조건
Azure 역할을 할당하려면 다음이 있어야 합니다.
- 역할 기반 Access Control 관리자 또는 사용자 액세스 관리자와 같은
Microsoft.Authorization/roleAssignments/write
권한
1단계: 대리자에게 필요한 사용 권한 확인
대리인에게 필요한 사용 권한을 확인하려면 다음 질문에 답변하세요.
- 대리자는 어떤 역할을 할당할 수 있나요?
- 대리자는 어떤 유형의 보안 주체에게 역할을 할당할 수 있나요?
- 대리자가 어떤 보안 주체에게 역할을 할당할 수 있나요?
- 대리자는 모든 역할 할당을 제거할 수 있나요?
대리자에게 필요한 사용 권한을 알게 되면, 다음 단계를 사용하여 대리자의 역할 할당에 조건을 추가합니다. 예제 조건은 조건을 사용하여 Azure 역할 할당 관리를 위임하는 예제를 참조하세요.
2단계: 새 역할 할당 시작
Azure Portal에 로그인합니다.
단계에 따라 역할 할당 추가 페이지를 엽니다.
역할 탭에서 권한이 있는 관리자 역할 탭을 선택합니다.
역할 기반 Access Control 관리자 역할을 선택합니다.
조건 탭이 나타납니다.
사용자 액세스 관리자와 같은
Microsoft.Authorization/roleAssignments/write
또는Microsoft.Authorization/roleAssignments/delete
작업을 포함하는 모든 역할을 선택할 수 있지만, 역할 기반 Access Control 관리자의 사용 권한은 더 적습니다.멤버 탭에서 대리자를 찾아서 선택합니다.
3단계: 조건 추가
조건을 추가하는 방법에는 두 가지가 있습니다. 조건 템플릿을 사용하거나 고급 조건 편집기를 사용할 수 있습니다.
수행 가능한 작업 아래의 조건 탭에서 사용자가 선택한 보안 주체에게 선택한 역할만 할당하도록 허용(권한 축소) 옵션을 선택합니다.
역할 및 보안 주체 선택을 선택합니다.
역할 할당 조건 추가 페이지에 조건 템플릿 목록이 나타납니다.
조건 템플릿을 선택한 다음, 구성을 선택합니다.
조건 템플릿 이 템플릿을 선택하여 다음 작업을 수행합니다. 역할 제한 사용자가 선택한 역할만 할당하도록 허용 역할 및 보안 주체 유형 제한 사용자가 선택한 역할만 할당하도록 허용
사용자가 선택한 보안 주체 유형(사용자, 그룹 또는 서비스 주체)에만 이러한 역할을 할당하도록 허용역할 및 보안 주체 제한 사용자가 선택한 역할만 할당하도록 허용
사용자가 선택한 보안 주체에게만 이러한 역할을 할당하도록 허용특정 역할을 제외하고 모두 허용 사용자가 선택한 역할을 제외한 모든 역할을 할당하도록 허용 구성 창에서 필요한 구성을 추가합니다.
저장을 선택하여 역할 할당에 조건을 추가합니다.
4단계: 대리자에게 조건이 있는 역할 할당
검토 + 할당 탭에서 역할 할당 설정을 검토합니다.
검토 + 할당을 선택하여 역할을 할당합니다.
잠시 후 대리자는 사용자의 역할 할당 조건과 함께 역할 기반 Access Control 관리자 역할이 할당됩니다.
5단계: 대리자가 조건이 있는 역할 할당
이제 대리자는 역할을 할당하는 단계를 따를 수 있습니다.
대리자가 Azure Portal에서 역할을 할당하려고 하면 할당할 수 있는 역할만 표시하도록 역할 목록이 필터링됩니다.
보안 주체에 대한 조건이 있는 경우 할당에 사용할 수 있는 보안 주체 목록도 필터링됩니다.
대리자가 API를 사용하여 조건 밖에 있는 역할을 할당하려고 하면 오류와 함께 역할 할당이 실패합니다. 자세한 내용은 증상 - 역할을 할당할 수 없음을 참조하세요.
조건 편집
조건을 편집하는 방법에는 두 가지가 있습니다. 조건 템플릿을 사용하거나 조건 편집기를 사용할 수 있습니다.
Azure Portal에서 보기, 편집 또는 삭제 조건이 있는 역할 할당에 대한 액세스 제어(IAM) 페이지를 엽니다.
역할 할당 탭을 선택하고 역할 할당을 찾습니다.
조건 열에서 보기/편집을 선택합니다.
보기/편집 링크가 표시되지 않으면 역할 할당과 동일한 범위를 확인해야 합니다.
역할 할당 조건 추가 페이지가 표시됩니다. 이 페이지는 조건이 기존 템플릿과 일치하는지 여부에 따라 다르게 표시됩니다.
조건이 기존 템플릿과 일치하는 경우 구성을 선택하여 조건을 편집합니다.
조건이 기존 템플릿과 일치하지 않는 경우 고급 조건 편집기를 사용하여 조건을 편집합니다.
예를 들어, 조건을 편집하려면 식 빌드 섹션까지 아래로 스크롤하고 특성, 연산자 또는 값을 업데이트합니다.
조건을 직접 편집하려면 코드 편집기 형식을 선택한 다음 조건에 대한 코드를 편집합니다.
완료되면 저장을 클릭하여 조건을 업데이트합니다.