액세스 권한을 승격해야 하는 경우 이해
마케팅 부서의 Azure 구독 관리자가 최근에 조직을 떠났습니다. 전역 관리자로서 따라서 이 구독에 대한 액세스 권한이 없습니다. 이제 여러분은 마케팅 부서의 다른 직원에게 구독에 대한 관리자 액세스 권한을 부여해야 합니다.
이 단원에서는 자체 액세스 권한을 승격해야 하는 경우를 살펴봅니다.
액세스 권한을 승격하는 경우
기본적으로 전역 관리자는 Azure 리소스에 대한 액세스 권한이 없습니다. Microsoft Entra ID의 전역 관리자는 일시적으로 자신의 권한을 사용자 액세스 관리자의 Azure 역할로 승격할 수 있습니다. 이 작업은 Azure 리소스를 관리하는 데 필요한 Azure RBAC(Azure 역할 기반 액세스 제어) 권한을 부여합니다. 사용자 액세스 관리자는 루트 범위에서 할당됩니다. 이 역할은 해당 Microsoft Entra 조직의 모든 구독 또는 관리 그룹에 있는 모든 리소스를 보고 액세스 권한을 할당할 수 있습니다.
다음 다이어그램은 권한이 사용자 액세스 관리자로 상승될 때 전역 관리자가 볼 수 있는 리소스를 보여줍니다.
전역 관리자는 다음을 위해 권한을 상승시켜야 할 수 있습니다.
- Azure 구독 또는 관리 그룹에 대해 손실된 액세스 권한을 다시 획득합니다.
- 다른 사용자에게 Azure 구독 또는 관리 그룹에 대한 액세스 권한을 부여합니다.
- 조직의 모든 Azure 구독 또는 관리 그룹을 봅니다.
- 모든 Azure 구독 또는 관리 그룹에 대해 자동화 앱 액세스를 부여합니다.
전역 관리자는 자신의 권한을 사용자 액세스 관리자로 승격한 후 Azure 리소스를 제어 및 관리하는 데 필요한 Azure RBAC 권한을 다른 사람에게 부여할 수 있습니다. 작업이 완료되면 전역 관리자는 승격된 권한을 철회해야 합니다.
Azure 구독에 대한 사용자 관리자 액세스 할당
구독에 대한 액세스 권한을 사용자에게 할당하려면 구독 범위에서 Microsoft.Authorization/roleAssignments/write 및 Microsoft.Authorization/roleAssignments/delete 권한이 있어야 합니다. 구독 소유자 또는 사용자 액세스 관리자 역할을 가진 사용자에게는 해당 권한이 있습니다.
다음 단원에서는 사용자 액세스 관리자에 대한 권한을 승격한 후 Azure Portal을 사용하여 역할을 할당하는 방법을 알아봅니다. 단, Azure PowerShell, Azure CLI 또는 REST API를 사용하여 역할을 할당할 수도 있습니다.
다음 섹션에서는 Azure PowerShell 또는 Azure CLI에서 소유자 역할을 할당하는 데 사용하는 명령을 간략하게 살펴보겠습니다.
Azure PowerShell을 사용하여 역할 할당
다음 명령은 Azure PowerShell을 사용하여 구독 범위의 사용자에게 소유자 역할을 할당하는 방법을 보여줍니다.
New-AzRoleAssignment `
-SignInName rbacuser@example.com `
-RoleDefinitionName "Owner" `
-Scope "/subscriptions/<subscriptionID>"
Azure CLI를 사용하여 역할 할당
다음 명령은 Azure CLI를 사용하여 구독 범위의 사용자에게 소유자 역할을 할당하는 방법을 보여줍니다.
az role assignment create \
--assignee rbacuser@example.com \
--role "Owner" \
--scope /subscriptions/<subscription_id>/resourceGroups/<resource_group_name> \
--subscription <subscription_name_or_id>