RBAC(역할 기반 액세스 제어)를 사용하여 리소스 보호
Azure Policy를 구현해서 Azure 액세스 권한이 있는 모든 직원이 리소스 생성에 대한 내부 표준을 따르도록 했는데 해결해야 할 또 다른 문제가 생겼습니다. 이러한 리소스가 배포된 후에는 어떻게 보호해야 하나요? 설정을 관리해야 하는 IT 인력, 읽기 전용 액세스 권한을 부여받아야 하는 개발자, 이 둘을 완전히 관리할 수 있어야 하는 관리자가 있습니다. RBAC(역할 기반 액세스 제어)로 전환하세요.
RBAC는 Azure 리소스에 대한 세분화된 액세스 관리를 제공하여 작업을 수행하는 데 필요한 특정 권한을 사용자에게 부여할 수 있게 해줍니다. RBAC는 핵심 서비스로 간주되며 모든 구독 수준에 무료로 포함됩니다.
RBAC를 사용하여 다음을 수행할 수 있습니다.
- 한 사용자는 구독의 VM을 관리하고 다른 사용자는 가상 네트워크를 관리하도록 허용합니다.
- 데이터베이스 관리자(DBA) 그룹이 구독의 SQL 데이터베이스를 관리하도록 허용합니다.
- 사용자가 VM, 웹 사이트, 가상 서브넷 등 리소스 그룹의 모든 리소스를 관리하도록 허용합니다.
- 애플리케이션이 리소스 그룹의 모든 리소스에 액세스하도록 허용합니다.
액세스 권한을 보려면 Azure Portal의 리소스에 대한 액세스 제어(IAM) 패널을 사용합니다. 이 패널에서는 해당 영역에 액세스할 수 있는 사용자와 할당된 역할을 확인할 수 있습니다. 이 패널을 사용하여 액세스 권한을 부여하거나 제거할 수도 있습니다.
RBAC가 액세스를 정의하는 방법
RBAC는 액세스에 허용 모델을 사용합니다. RBAC는 역할을 할당받은 사용자에게 읽기, 쓰기, 삭제와 같은 특정 작업을 수행하도록 허용합니다. 따라서 하나의 역할 할당이 리소스 그룹에 대한 읽기 권한을 부여하고, 다른 역할 할당이 동일한 리소스 그룹에 대한 쓰기 권한을 부여할 경우 사용자는 해당 리소스 그룹에 대한 읽기 권한과 쓰기 권한을 가집니다.
RBAC에 대한 모범 사례
리소스를 설정할 때 사용해야 하는 몇 가지 모범 사례는 다음과 같습니다.
- 팀 내에서 업무를 분리하고 사용자에게 해당 작업을 수행하는 데 필요한 만큼의 권한만 부여합니다. Azure 구독 또는 리소스에서 모든 사람에게 무제한 권한을 제공하는 대신, 특정 범위에서 특정 작업만 허용합니다.
- 액세스 제어 전략을 계획할 때 작업을 수행하기 위해 필요한 최소한의 권한 수준을 사용자에게 부여합니다.
- 리소스 잠금을 사용하여 중요한 리소스가 수정되거나 삭제되지 않도록 하세요(다음 단원에서 학습).