Azure Virtual Desktop의 기본 제공 Azure RBAC 역할
이 문서의 내용
Azure Virtual Desktop은 Azure RBAC(역할 기반 액세스 제어)를 사용하여 리소스에 대한 액세스를 제어합니다. 권한 컬렉션인 Azure Virtual Desktop과 함께 사용하기 위한 여러 기본 제공 역할이 있습니다. 사용자와 관리자에게 역할을 할당하고 이러한 역할은 특정 작업을 수행할 수 있는 권한을 부여합니다. Azure RBAC에 대한 자세한 내용은 Azure RBAC란? 을 참조하세요.
Azure의 표준 기본 제공 역할은 소유자 , 기여자 및 읽기 권한자 입니다. 그러나 Azure Virtual Desktop에는 호스트 풀, 애플리케이션 그룹 및 작업 영역에 대한 관리 역할을 구분할 수 있는 더 많은 역할이 있습니다. 이러한 분리를 통해 관리 작업을 보다 세부적으로 제어할 수 있습니다. 이러한 역할은 Azure의 표준 역할 및 최소 권한 방법에 따라 명명됩니다. Azure Virtual Desktop에는 특정 소유자 역할이 없지만 서비스 개체에 대한 일반 소유자 역할을 사용할 수 있습니다.
Azure Virtual Desktop의 기본 제공 역할과 각 역할에 대한 권한은 이 문서에 자세히 설명되어 있습니다. 필요한 범위에 각 역할을 할당할 수 있습니다. 일부 Azure Desktop 기능에는 할당된 범위에 대한 특정 요구 사항이 있으며 관련 기능에 대한 설명서에서 찾을 수 있습니다. 자세한 내용은 Azure 역할 정의 이해 및 Azure RBAC에 대한 범위 이해 를 참조하세요.
데스크톱 가상화 기여자
데스크톱 가상화 기여자 역할은 모든 Azure Virtual Desktop 리소스를 관리하도록 허용합니다. 또한 애플리케이션 그룹을 사용자 계정 또는 사용자 그룹에 할당하려면 사용자 액세스 관리자 역할이 필요합니다. 이 역할은 사용자에게 컴퓨팅 리소스에 대한 액세스 권한을 부여하지 않습니다.
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 읽기 권한자
데스크톱 가상화 읽기 권한자 역할은 모든 Azure Virtual Desktop 리소스를 보도록 허용하지만 변경은 허용되지 않습니다.
ID : 49a72310-ab8d-41df-bbb0-79b649203868
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/*/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 사용자
데스크톱 가상화 사용자 역할은 사용자가 애플리케이션 그룹의 세션 호스트에서 애플리케이션을 비관리 사용자로 사용하도록 허용합니다.
ID : 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
동작 유형
사용 권한
actions
없음
notActions
없음
dataActions
Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions
없음
데스크톱 가상화 호스트 풀 기여자
데스크톱 가상화 호스트 풀 기여자 역할은 호스트 풀의 모든 측면을 관리하도록 허용합니다. 가상 머신을 만들려면 가상 머신 기여자 역할, 포털을 사용하여 Azure Virtual Desktop을 배포하려면 데스크톱 가상화 애플리케이션 그룹 기여자 및 데스크톱 가상화 작업 영역 기여자 역할도 필요하며, 또는 데스크톱 가상화 기여자 역할을 사용할 수 있습니다.
ID : e307426c-f9b6-4e81-87de-d99efb3c32bc
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 호스트 풀 읽기 권한자
데스크톱 가상화 호스트 풀 판독기 역할은 호스트 풀의 모든 측면을 보도록 허용하지만 변경은 허용되지 않습니다.
ID : ceadfde2-b300-400a-ab7b-6143895aa822
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/hostpools/*/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 애플리케이션 그룹 기여자
Desktop Virtualization 애플리케이션 그룹 기여자 역할은 애플리케이션 그룹의 모든 측면을 관리하도록 허용합니다. 애플리케이션 그룹에 사용자 계정 또는 사용자 그룹을 할당하려는 경우 사용자 액세스 관리자 역할도 필요합니다.
ID : 86240b0e-9422-4c43-887b-b61143f32ba8
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 애플리케이션 그룹 읽기 권한자
데스크톱 가상화 애플리케이션 그룹 읽기 권한자 역할은 애플리케이션 그룹의 모든 측면을 보도록 허용하지만 변경은 허용되지 않습니다.
ID : aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/applicationgroups/*/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 작업 영역 기여자
Desktop Virtualization 작업 영역 기여자 역할은 작업 영역의 모든 측면을 관리하도록 허용합니다. 관련 애플리케이션 그룹에 추가된 애플리케이션에 대한 정보를 얻으려면 데스크톱 가상화 애플리케이션 그룹 읽기 권한자 역할도 필요합니다.
ID : 21efdde3-836f-432b-bf3d-3e8e734d4b2b
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 작업 영역 읽기 권한자
데스크톱 가상화 작업 영역 읽기 권한자 역할은 사용자가 작업 영역의 모든 측면을 보도록 허용하지만 변경은 허용되지 않습니다.
ID : 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 사용자 세션 운영자
Desktop Virtualization 사용자 세션 운영자 역할은 메시지를 보내고, 세션 연결을 끊고, "로그오프" 기능을 사용하여 세션 호스트에서 세션을 로그아웃하도록 허용합다. 그러나 이 역할은 세션 호스트 제거, 드레인 모드 변경 등의 호스트 풀 또는 세션 호스트 관리를 허용하지 않습니다. 이 역할은 할당을 볼 수 있지만 구성원을 수정할 수는 없습니다. 특정 호스트 풀에 이 역할을 할당하는 것이 좋습니다. 리소스 그룹 수준에서 이 역할을 할당하는 경우 리소스 그룹의 모든 호스트 풀에 대한 읽기 권한을 제공합니다.
ID : ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 세션 호스트 운영자
데스크톱 가상화 세션 호스트 운영자 역할은 세션 호스트를 보고 제거하고 드레이닝 모드를 변경하도록 허용합니다. 이 역할은 호스트 풀 개체에 대한 쓰기 권한이 없으므로 Azure Portal을 사용하여 세션 호스트를 추가할 수 없습니다. Azure Portal 외부에 세션 호스트를 추가하는 경우, 등록 토큰이 유효한 경우(생성되고 만료되지 않은 경우) 이 역할은 가상 머신 기여자 역할도 할당되어 있으면 호스트 풀에 세션 호스트를 추가할 수 있습니다.
ID : 2ad6aaab-ead9-4eaa-8ac5-da422f562408
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 전원 켜기 기여자
데스크톱 가상화 전원 켜기 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 시작하도록 허용하는 데 사용됩니다.
ID : 489581de-a3bd-480d-9518-53dea7416b33
동작 유형
사용 권한
actions
Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 전원 켜기 끄기 기여자
데스크톱 가상화 전원 켜기 끄기 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 시작하고 중지하도록 허용하는 데 사용됩니다.
ID : 40c5ff49-9181-41f8-ae61-143b0e78555e
동작 유형
사용 권한
actions
Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions
없음
dataActions
없음
notDataActions
없음
데스크톱 가상화 가상 머신 기여자
데스크톱 가상화 가상 머신 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 만들고, 삭제, 업데이트, 시작 및 중지하도록 허용하는 데 사용됩니다.
ID : a959dbd1-f747-45e3-8ba6-dd80f235f97c
동작 유형
사용 권한
actions
Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions
없음
dataActions
없음
notDataActions
없음