Azure 사용자 지정 역할 관리

완료됨

이 단원에서는 Azure 사용자 지정 역할을 관리할 수 있는 사용자와 관리 방법을 알아봅니다.

사용자 지정 역할은 누가 관리할 수 있나요?

일반적으로 소유자 또는 사용자 액세스 관리자 역할을 가진 관리자는 사용자 지정 역할을 만들고 관리할 수 있는 권한을 가집니다. 기본적으로 이러한 역할에는 모든 역할 할당 범위에 대한 Microsoft.Authorization/roleDefinitions/write 권한이 있습니다. 이 권한은 사용자 지정 역할을 만들거나 삭제하거나 업데이트하는 데 필요합니다.

역할 할당 범위는 AssignableScopes의 사용자 지정 역할 정의에 정의됩니다. 단원 2에서 설명한 대로 AssignableScopes는 하나 이상의 구독, 리소스 그룹 또는 리소스가 될 수 있습니다.

다음 표에서는 사용자 지정 역할을 만들거나 삭제하거나 업데이트하거나 보는 데 필요한 권한이 나와 있습니다. 사용자 지정 역할을 관리하려면 역할 정의에 관련 작업 및 AssignableScopes가 있는 역할에 할당되어야 합니다.

과제	작업	설명
만들기/삭제	Microsoft.Authorization/roleDefinitions/write	사용자는 범위에서 사용할 사용자 지정 역할을 만들거나 삭제할 수 있습니다. 예를 들면 다음과 같습니다. 구독, 리소스 그룹 및 리소스의 소유자 및 사용자 액세스 관리자입니다.
업데이트	Microsoft.Authorization/roleDefinitions/write	사용자는 범위에서 사용자 지정 역할을 업데이트할 수 있습니다. 예를 들면 다음과 같습니다. 구독, 리소스 그룹 및 리소스의 소유자 및 사용자 액세스 관리자입니다.
보기	Microsoft.Authorization/roleDefinitions/read	사용자는 범위에서 할당에 사용할 수 있는 사용자 지정 역할을 볼 수 있습니다. 모든 기본 제공 역할은 사용자 지정 역할을 할당에 사용할 수 있도록 허용합니다.

사용자 지정 역할 만들기

이전 단원에서는 Azure CLI를 사용하여 사용자 지정 역할을 만들었습니다. Azure Portal이나 Azure PowerShell을 사용하여 사용자 지정 역할을 만들 수도 있습니다.

Azure Portal을 사용하여 사용자 지정 역할 만들기

Azure Portal에서 사용자 지정 역할 범위를 적용할 구독 또는 리소스 그룹으로 이동한 다음, 액세스 제어(IAM)로 이동하고 추가>사용자 지정 역할 추가를 선택합니다.

기존 역할을 복제하거나 처음부터 새로 시작할 수 있습니다.

둘 중 어느 옵션을 선택하든 사용 권한, 범위 및 결과로 생성되는 JSON을 편집할 수 있습니다.

Azure PowerShell을 사용하여 사용자 지정 역할 만들기

Azure PowerShell을 사용하여 역할을 만드는 단계는 이전 두 단원에서 설명한 것과 유사합니다. JSON 파일에서 사용자 지정 역할을 정의한 후 Azure CLI에서 다음 명령을 사용하여 사용자 지정 역할을 만듭니다.

az role definition create --role-definition vm-operator-role.json

Azure PowerShell에서 역할을 만들려면 다음 명령을 실행합니다.

New-AzRoleDefinition -InputFile "vm-operator-role.json"

사용자 지정 역할 업데이트

사용자 지정 역할을 업데이트하려면 Azure CLI 또는 Azure PowerShell을 사용할 수 있습니다. 다음 단원에서는 사용자 지정 역할 정의를 업데이트하는 특정 단계를 안내합니다. 그러나 일반적으로 변경 내용으로 JSON 파일을 업데이트한 후에는 다음 명령 중 하나를 실행합니다.

Azure CLI를 사용하여 사용자 지정 역할을 업데이트하려면 업데이트를 포함하는 JSON 파일의 경로를 사용하여 다음 명령을 실행합니다.

az role definition update --role-definition "<<path-to-json-file>>"

Azure PowerShell에서 업데이트된 JSON 파일에 대한 경로를 사용하여 다음 명령을 실행합니다.

Set-AzRoleDefinition -InputFile "<<path-to-json-file>>"

사용자 지정 역할 보기

다음 단원에서는 Azure Portal에서 사용자 지정 역할을 보는 방법에 대해 알아봅니다. Azure CLI 또는 PowerShell을 사용하여 사용자 지정 역할의 목록을 가져올 수도 있습니다.

Azure CLI를 사용하여 모든 사용자 지정 역할을 나열하려면 다음 명령을 사용합니다.

az role definition list --custom-role-only true --output json | jq '.[] | {"roleName":.roleName, "roleType":.roleType}'

명령이 역할 이름 및 역할 유형만 요청하는 방법을 확인하세요. 이렇게 하면 많은 역할을 더 쉽게 볼 수 있습니다.

Azure PowerShell을 사용하여 모든 사용자 지정 역할을 나열하려면 다음 명령을 사용합니다. 이 명령은 구독에서 할당에 사용할 수 있는 사용자 지정 역할을 나열합니다. 구독이 역할의 AssignableScopes에 있지 않은 경우 사용자 지정 역할이 나열되지 않습니다.

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

역할 정의 보기

특정 역할에 대한 전체 정의를 보려면 다음 Azure CLI 명령을 사용합니다.

az role definition list --name "Virtual Machine Operator"

PowerShell에서 정의를 보려면 다음 명령을 사용합니다.

Get-AzRoleDefinition "Virtual Machine Operator" 

사용자 지정 역할 할당 나열

다음 명령을 사용하여 Azure CLI에서 만든 사용자 지정 역할에 할당된 사용자를 확인할 수 있습니다.

az role assignment list --role "Virtual Machine Operator"

PowerShell의 경우 다음 명령을 사용합니다.

Get-AzRoleAssignment -RoleDefinitionName "Virtual Machine Operator"

사용자 지정 역할 삭제

다음 단원의 연습을 위해 이전 단원에서 만든 사용자 지정 역할이 필요하므로 사용자 지정 역할을 아직 삭제하지 마세요. 먼저 사용자 지정 역할을 삭제하는 방법에 대해 알아보겠습니다.

역할 할당 제거

사용자 지정 역할이 더 이상 필요하지 않다고 판단되면 역할을 삭제하기 전에 역할 할당을 제거해야 합니다.

Azure Portal에서 사용자 지정 역할의 범위가 적용되는 구독, 리소스 그룹 또는 리소스로 이동하여 할당을 제거할 수 있습니다. 그런 다음 액세스 제어(IAM)>역할 할당으로 이동합니다. 역할 이름을 기준으로 필터링하고, 역할에 할당된 모든 사용자를 선택하고, 제거를 선택합니다.

Azure CLI에서 사용자 지정 역할의 이름과 함께 다음 명령을 사용합니다.

   az role assignment delete --role "role name"

Azure PowerShell에서 Remove-AzRoleAssignment cmdlet를 사용합니다. 명령은 다음과 유사할 수 있습니다.

Remove-AzRoleAssignment -ObjectId <object_id> -RoleDefinitionName "role name" -Scope /subscriptions/<subscription_id>

ObjectID는 사용자, 그룹 또는 서비스 주체의 Microsoft Entra ObjectId입니다.

사용자 지정 역할 삭제

Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 사용자 지정 역할을 삭제할 수 있습니다.

Azure Portal에서 사용자 지정 역할의 범위가 적용되는 구독, 리소스 그룹 또는 리소스로 이동한 다음, 액세스 제어(IAM)>역할로 이동합니다. 역할을 찾으려면 형식>CustomRole을 선택합니다.

역할을 선택한 다음, 제거를 선택합니다.

다음 단원에서 다음 명령을 사용하여 Azure CLI를 통해 사용자 지정 역할을 삭제합니다.

az role definition delete --name "role name"

PowerShell에서 다음 명령을 사용하여 역할을 삭제합니다.

Get-AzRoleDefinition "role name" | Remove-AzRoleDefinition

지식 점검

1.

사용자 지정 역할을 업데이트하는 Azure PowerShell cmdlet은 무엇인가요?

New-AzRoleDefinition

Set-AzRoleDefinition

az role definition create

2.

사용자 지정 역할을 제거하는 단계는 무엇인가요?

사용자 지정 역할을 삭제한 후 역할 할당을 제거합니다.

역할 정의 상태를 사용 중지됨으로 설정합니다.

역할 할당을 삭제한 후 사용자 지정 역할을 삭제합니다.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.