Azure 플랜 하에서 구독 및 리소스 관리
적절한 역할: 관리 에이전트
이 문서에서는 CSP(클라우드 솔루션 공급자) 파트너가 다양한 RBAC(역할 기반 액세스 제어) 옵션을 사용하여 고객의 Azure 리소스에 대한 운영 제어 및 관리를 가져오는 방법을 설명합니다.
고객을 Azure 플랜으로 전환하면 기본적으로 AOBO(관리자를 통해 구독 소유자 권한)인 Azure에서 권한 있는 관리자 권한이 할당됩니다.
참고 항목
Azure 구독에 대한 관리자 권한은 구독 수준, 리소스 그룹 수준 또는 워크로드 수준에서 고객이 제거할 수 있습니다.
파트너는 RBAC(역할 기반 액세스 제어 기능)를 통해 사용할 수 있는 다양한 옵션을 사용하여 CSP에서 고객의 Azure 리소스에 대한 지속적인 운영 제어 및 관리를 얻을 수 있습니다.
관리자 대신 - AOBO를 사용하면 파트너 테넌트에서 관리자 에이전트 역할을 가진 모든 사용자는 CSP 프로그램을 통해 만든 Azure 구독에 대한 RBAC 소유자 액세스 권한을 가집니다.
Azure Lighthouse: AOBO는 서로 다른 고객과 함께 작동하는 고유한 그룹을 만들거나 그룹 또는 사용자에 대해 서로 다른 역할을 사용하도록 설정할 수 있는 유연성이 없습니다. 그러나 Azure Lighthouse를 사용하여 다른 고객 또는 역할에 다른 그룹을 할당할 수 있습니다. 사용자는 Azure 위임 리소스 관리를 통해 적절한 수준의 액세스 권한을 가지므로 관리 에이전트 역할이 있는 사용자 수를 줄일 수 있습니다(따라서 전체 AOBO 액세스 권한이 있는). 이는 고객의 리소스에 대한 불필요한 액세스를 제한하여 보안을 개선하는 데 도움이 됩니다. 또한 유연성이 향상되어 여러 고객을 대규모로 관리할 수 있습니다. 자세한 내용은 Azure Lighthouse 및 클라우드 솔루션 공급자 프로그램을 참조하세요.
디렉터리 또는 게스트 사용자 또는 서비스 주체: 고객 디렉터리에 사용자를 추가하거나 게스트 사용자를 추가하고 특정 RBAC 역할을 할당하여 CSP 구독에 대한 세분화된 액세스를 위임할 수 있습니다.
보안 사례로, Microsoft는 사용자에게 작업을 수행하는 데 필요한 최소 권한을 할당하는 것이 좋습니다. 자세한 내용은 Microsoft Entra Privileged Identity Management 리소스를 참조하세요.
파트너 ID를 자격 증명에 연결하여 고객의 Azure 리소스 관리
다음 표에서는 PartnerID(이전의 MPN ID)를 다양한 RBAC 액세스 옵션과 연결하는 데 사용되는 방법을 보여 줍니다.
범주 | 시나리오 | PartnerID 연결 |
---|---|---|
AOBO | CSP 직접 파트너 또는 간접 공급자는 고객에 대한 구독을 만들어 CSP 직접 파트너 또는 간접 공급자를 AOBO를 사용하여 구독의 기본 소유자로 만듭니다. CSP 직접 파트너 또는 간접 공급자는 AOBO를 사용하여 구독에 대한 간접 재판매인 액세스 권한을 부여합니다. | 자동(파트너 작업 필요 없음) |
Azure Lighthouse | 파트너는 Marketplace에서 새 관리 서비스 제품을 만듭니다. 제품은 CSP 구독에서 수락되며 파트너는 CSP 구독에 대한 액세스 권한을 얻습니다. | 자동(파트너 작업 필요 없음) |
Azure Lighthouse | 파트너가 Azure 구독에서 ARM(Azure Resource Manager) 템플릿 을 배포합니다. | 파트너는 파트너 테넌트에서 PartnerID를 사용자 또는 서비스 주체와 연결해야 합니다. 자세한 내용은 파트너 ID 연결을 참조 하여 위임된 리소스에 미치는 영향을 추적합니다. |
디렉터리 또는 게스트 사용자 | 파트너는 고객 디렉터리에 새 사용자 또는 서비스 사용자를 만들고 사용자에게 CSP 구독에 대한 액세스 권한을 부여합니다. 파트너는 고객 디렉터리에 새 사용자 또는 서비스 사용자를 만듭니다. 파트너는 사용자를 그룹에 추가하고 해당 그룹에 CSP 구독에 대한 액세스 권한을 제공합니다. | 파트너는 파트너 ID를 고객 테넌트에서 사용자 또는 서비스 주체와 연결해야 합니다. 자세한 내용은 고객을 관리하는 데 사용되는 계정에 PartnerID 연결을 참조 하세요. |
관리자 액세스 권한이 있는지 확인
고객의 서비스를 관리하고 획득 크레딧을 받으려면 관리자 액세스 권한이 있어야 합니다. 획득 크레딧에 대한 자세한 내용은 파트너 획득 크레딧을 참조 하세요.
관리자 액세스 권한이 있는지 여부를 확인하려면 다음 단계를 사용합니다.
- 일일 사용량 파일을 검토합니다. 일일 사용량 파일에서 단가 및 유효 단가를 검토하고 할인이 적용되는지 확인합니다. 할인을 받는 경우 관리자입니다.
Azure 모니터 경고 만들기
RBAC 액세스가 CSP 구독에서 제거된 경우 알림을 받을 활동 로그 Azure Monitor 경고를 만들 수 있습니다.
Azure Monitor 경고를 만들려면 다음 단계를 사용합니다.
경고를 만듭니다.
경고를 수행할 작업 유형을 선택합니다.
예를 들어 전자 메일을 원하는 것으로 지정하면 역할 할당 삭제가 발생하는 경우 알리는 전자 메일을 받게 됩니다.
AOBO 제거
고객은 Azure Portal에서 Access Control로 이동하여 구독에 대한 액세스를 관리할 수 있습니다. 역할 할당 탭에서 액세스 제거를 선택할 수 있습니다.
고객이 액세스를 제거하는 경우 다음을 수행할 수 있습니다.
고객에게 연락하여 관리자 액세스를 복구할 수 있는지 확인합니다.
RBAC(역할 기반 액세스 제어)를 통해 제공되는 액세스 권한을 사용합니다.
Azure Lighthouse를 통해 제공되는 액세스 권한을 사용합니다.
역할 기반 액세스는 관리자 액세스와 다릅니다. 역할은 수행할 수 있는 작업과 수행할 수 없는 작업의 범위를 정확하게 구분합니다. 관리자 액세스는 좀 더 광범위합니다.
Azure 플랜 일시 중단 및 다시 활성화
파트너는 Azure 플랜 세부 정보 페이지에서 파트너 센터에서 직접 Azure 플랜을 일시 중단하거나 다시 활성화할 수 있습니다.
- 파트너 센터의 고객에서 고객 계정을 선택합니다.
- 고객의 Azure 구독으로 이동합니다.
- Azure 플랜 선택
- 상태: 일시 중단됨을 선택한 다음 제출 하여 Azure 계획을 일시 중단합니다.
- 상태: 활성 을 선택한 다음 제출 을 선택하여 Azure 계획을 다시 활성화합니다.
Azure 사용량 구독 및 Azure 예약을 포함하여 연결된 활성 사용 자산이 더 이상 없는 경우에만 기존 Azure 플랜을 일시 중단할 수 있습니다.
파트너는 특정 재판매인 및 고객 조합당 하나의 Azure 플랜만 구매할 수 있습니다. 재판매인의 고객에게 일시 중단된 플랜이 있는 경우 해당 고객은 새 플랜을 구매할 수 없습니다. Azure 플랜에 취소를 사용할 수 없습니다.
API에 의한 Azure 플랜 일시 중단은 구독 일시 중단 - 파트너 앱 개발자를 참조 하세요.
API에 의한 Azure 플랜 다시 활성화는 일시 중단된 구독 다시 활성화 - 파트너 앱 개발자를 참조 하세요.
Azure 구독 취소
고객의 Azure 플랜 구독이 손상된 경우 파트너는 파트너 센터에서 Azure 구독을 취소할 수 있습니다. 이 기능은 관리자 에이전트 역할에만 사용할 수 있습니다. 방법:
- 고객 목록에서 고객 선택
- 고객의 Azure 구독으로 이동합니다.
- 구독이 있는 Azure 플랜 선택
- Azure 플랜 세부 정보 페이지에서 취소할 Azure 구독을 선택합니다.
- 구독 취소를 선택하여 변경 내용 제출
그러면 선택한 Azure 구독만 취소됩니다. Azure 구독에 대한 액세스 권한이 있는 고객은 Azure 플랜이 여전히 활성 상태인 경우 구독을 다시 활성화할 수 있습니다. 이러한 일이 발생하지 않도록 하려면 파트너는 모든 Azure 구독을 취소한 다음 Azure 플랜 자체를 취소해야 합니다.
파트너는 구독을 다중 선택할 수 있지만 한 번에 10개 이상의 구독을 취소할 수는 없습니다. 파트너는 활성 Azure 구독이 없는 경우 Azure 플랜을 취소할 수 있습니다. 이를 통해 파트너는 잘못된 행위자가 RBAC 권한을 제거한 경우에도 손상되었을 수 있는 Azure 플랜 및 구독을 종료할 수 있습니다.
파트너는 파트너 센터 포털 또는 API를 통해 Azure 구독을 취소할 수 있습니다. API 세부 정보는 Azure 구독 취소를 참조하고 사용해 보려면 Azure 지출 - Azure 권한 취소 - REST API를 참조하세요.
Azure 구독 취소에 대한 자세한 내용은 구독 취소 후 어떻게 되나요?
Azure 구독 재활성화
파트너는 비활성 Azure 구독 탭을 사용하여 Azure 플랜 세부 정보 페이지에서 고객 손상으로 인해 취소된 Azure 구독을 다시 활성화할 수 있습니다. 이 기능은 관리자 에이전트 역할에만 사용할 수 있습니다. 방법:
- 고객 목록에서 고객 선택
- 고객의 Azure 구독으로 이동합니다.
- 구독이 있는 Azure 플랜 선택
- Azure 플랜 세부 정보 페이지의 Azure 구독 섹션에서 비활성 탭을 선택합니다.
- 다시 활성화할 Azure 구독 선택
- 구독 다시 활성화를 선택하여 변경 내용 제출
그러면 선택한 Azure 구독만 다시 활성화됩니다. 파트너는 구독을 다중 선택할 수 있지만 한 번에 10개 이상의 구독을 다시 활성화할 수는 없습니다. 연결된 Azure 플랜이 활성 상태여야 Azure 구독을 다시 활성화할 수 있습니다. 파트너는 Azure 플랜 세부 정보 페이지로 이동하고 Azure 계획의 상태를 다시 활성으로 업데이트하여 파트너 센터에서 직접 Azure 계획을 다시 활성화할 수 있습니다.
Azure Portal에서 고객 또는 청구 소유자가 Azure 구독을 취소한 경우 Azure Portal에서 구독을 다시 활성화하려면 고객 또는 청구 소유자에게 문의해야 합니다.
API로 다시 활성화하려면 Azure 구독 다시 활성화 - 파트너 앱 개발자를 참조하세요. 사용해 보려면 Azure 지출을 참조 하세요. - Azure 자격 다시 활성화
Azure 구독 다시 활성화에 대한 자세한 내용은 Azure 설명서에서 확인할 수 있습니다.