테이블 데이터에 액세스하기 위한 Azure 역할 할당

Microsoft Entra는 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 보안 리소스에 대한 액세스 권한을 권한 부여합니다. Azure Storage는 테이블 데이터에 액세스하는 데 사용되는 일반 권한 집합을 포함하는 Azure 기본 제공 역할 집합을 정의합니다.

Azure 역할이 Microsoft Entra 보안 주체에 할당되면 Azure는 해당 보안 주체에 해당 리소스에 대한 액세스 권한을 부여합니다. Microsoft Entra 보안 주체는 사용자, 그룹, 애플리케이션 서비스 주체 또는 Azure 리소스에 대한 관리 ID일 수 있습니다.

Microsoft Entra ID를 사용하여 테이블 데이터에 대한 액세스 권한을 부여하는 방법에 대해 자세히 알아보려면 Microsoft Entra ID를 사용하여 테이블에 대한 액세스 권한 부여를 참조하세요.

Azure 역할 할당

PowerShell, Azure CLI 또는 Azure Resource Manager 템플릿을 사용하여 데이터 액세스에 대한 역할을 할당할 수 있습니다.

Important

Azure Portal은 현재 테이블로 범위가 지정된 Azure RBAC 역할 할당을 지원하지 않습니다. 테이블 범위를 사용하여 역할을 할당하려면 PowerShell, Azure CLI 또는 Azure Resource Manager를 사용합니다.

Azure Portal을 사용하여 스토리지 계정, 리소스 그룹 또는 구독과 같은 Azure Resource Manager 리소스에 테이블 데이터에 대한 액세스 권한을 부여하는 역할을 할당할 수 있습니다.

PowerShell

Azure 역할을 보안 주체에 할당하려면 New-AzRoleAssignment 명령을 호출합니다. 명령의 형식은 할당 범위에 따라 다를 수 있습니다. 이 명령을 실행하려면 해당 범위 이상에서 사용자에게 할당된 Microsoft.Authorization/roleAssignments/write 권한을 포함하는 역할이 있어야 합니다.

범위가 지정된 역할을 테이블에 할당하려면 --scope 매개 변수의 테이블 범위를 포함하는 문자열을 지정합니다. 테이블의 범위는 다음과 같은 형식입니다.

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

다음 예제에서는 테이블에 범위가 지정된 스토리지 테이블 데이터 기여자 역할을 할당합니다. 샘플 값과 대괄호 안의 자리 표시자 값을 고유한 값으로 바꿔야 합니다.

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

구독, 리소스 그룹 또는 스토리지 계정 범위에서 PowerShell을 사용하여 역할을 할당하는 방법에 대한 자세한 내용은 Azure PowerShell을 사용하여 Azure 역할 할당을 참조하세요.

Azure CLI

Azure 역할을 보안 주체에 할당하려면 az role assignment create 명령을 사용합니다. 명령의 형식은 할당 범위에 따라 다를 수 있습니다. 명령의 형식은 할당 범위에 따라 다를 수 있습니다. 이 명령을 실행하려면 해당 범위 이상에서 사용자에게 할당된 Microsoft.Authorization/roleAssignments/write 권한을 포함하는 역할이 있어야 합니다.

범위가 지정된 역할을 테이블에 할당하려면 --scope 매개 변수의 테이블 범위를 포함하는 문자열을 지정합니다. 테이블의 범위는 다음과 같은 형식입니다.

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

다음 예제에서는 테이블 수준에 범위가 지정된 스토리지 테이블 데이터 기여자 역할을 할당합니다. 샘플 값과 대괄호 안의 자리 표시자 값을 고유한 값으로 바꿔야 합니다.

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

구독, 리소스 그룹 또는 스토리지 계정 범위에서 PowerShell을 사용하여 역할을 할당하는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 Azure 역할 할당을 참조하세요.

템플릿

Azure Resource Manager 템플릿을 사용하여 Azure 역할을 할당하는 방법을 알아보려면 Azure Resource Manager 템플릿을 사용하여 Azure 역할 할당을 참조하세요.

Azure Storage의 Azure 역할 할당에 대한 다음 사항에 유의하세요.

• Azure Storage 계정을 만들 때 Microsoft Entra ID를 통해 데이터에 액세스할 수 있는 권한이 자동으로 할당되지 않습니다. Azure Storage에 Azure 역할을 자신에게 명시적으로 할당해야 합니다. 구독, 리소스 그룹, 스토리지 계정 또는 테이블 수준으로 지정할 수 있습니다.
• 역할을 할당하거나 역할 할당을 제거하는 경우 변경 내용이 적용되는 데 최대 10분이 걸릴 수 있습니다.
• 데이터 작업이 있는 기본 제공 역할은 관리 그룹 범위에서 할당할 수 있습니다. 그러나 드문 시나리오에서는 데이터 작업 권한이 특정 리소스 종류에 적용되기까지 상당한 지연(최대 12시간)이 있을 수 있습니다. 권한은 결국 적용됩니다. 데이터 작업이 있는 기본 제공 역할의 경우 관리 그룹 범위에서 역할 할당을 추가하거나 제거하는 것은 Microsoft Entra PIM(Privileged Identity Management)과 같은 시기 적절한 권한 활성화 또는 해지가 필요한 시나리오에는 권장되지 않습니다.
• 스토리지 계정이 Azure Resource Manager 읽기 전용 잠금으로 잠긴 경우, 잠금으로 인해 스토리지 계정 또는 테이블로 범위가 지정된 Azure 역할을 할당할 수 없습니다.

다음 단계

• Azure RBAC(Azure 역할 기반 액세스 제어)란?
• Azure RBAC 사용 모범 사례