액세스 관리 살펴보기
클라우드 리소스의 액세스 관리는 클라우드를 사용 중인 모든 조직에서 중요한 기능입니다. RBAC(역할 기반 액세스 제어)는 Azure 리소스에 액세스할 수 있는 사용자, 해당 리소스로 수행할 수 있는 작업 및 액세스 권한이 있는 영역을 관리하는 데 도움을 줍니다. RBAC는 Azure 리소스에 대한 액세스를 세밀하게 관리할 수 있는 Azure Resource Manager 기반의 권한 부여 시스템입니다.
RBAC를 사용하여 리소스에 대한 액세스를 제어하는 방법은 역할 할당을 만드는 것입니다. 이 개념을 반드시 이해해야 하며, 이 원리에 따라 권한이 적용됩니다. 역할 할당은 보안 주체, 역할 정의, 범위의 세 가지 요소로 구성됩니다.
보안 주체: 보안 주체는 Azure 리소스에 대한 액세스를 요청하는 사용자, 그룹, 서비스 주체 또는 관리 ID를 나타내는 개체입니다.
- 사용자: Microsoft Entra ID에 프로필이 있는 개인.
- 그룹: Microsoft Entra ID에서 만든 사용자 집합.
- 서비스 사용자: 애플리케이션 또는 서비스에서 특정 Azure 리소스에 액세스하기 위해 사용하는 보안 ID입니다. 이는 애플리케이션에 대한 사용자 ID(사용자 이름 및 암호 또는 인증서)로 간주할 수 있습니다.
- 관리 ID: Azure에서 자동으로 관리되는 Microsoft Entra ID의 ID. 일반적으로 Azure 서비스에 인증하기 위한 자격 증명을 관리하는 클라우드 애플리케이션을 개발하는 경우 ID 관리를 사용합니다. 예를 들어, Azure Virtual Machine에 관리 ID를 할당하면 해당 가상 머신 내에서 실행되는 소프트웨어가 다른 Azure 리소스에 액세스할 수 있습니다.
역할 정의: 역할 정의는 권한 컬렉션입니다. 역할이라고도 합니다. 역할 정의에는 읽기, 쓰기 및 삭제와 같이 수행할 수 있는 작업이 나열됩니다. 역할은 소유자처럼 대략적일 수도 있고 가상 머신 판독기처럼 구체적일 수도 있습니다. Azure에는 사용할 수 있는 기본 제공 역할이 여러 개 있습니다. 다음은 네 가지 기본 제공 역할입니다. 처음 세 개는 모든 리소스 종류에 적용됩니다.
소유자: 액세스 권한을 다른 사용자에게 위임할 수 있는 권한을 포함하여 모든 리소스에 대한 전체 액세스 권한을 보유합니다.
기여자: 모든 유형의 Azure 리소스를 만들고 관리할 수 있지만 다른 사용자에게 액세스 권한을 부여할 수 없습니다.
읽기 권한자: 기존 Azure 리소스를 볼 수 있습니다.
사용자 액세스 관리자: Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
나머지 기본 제공 역할은 특정 Azure 리소스의 관리를 허용합니다. 예를 들어 Virtual Machine 기여자 역할을 사용하면 사용자가 가상 머신을 만들고 관리할 수 있습니다. 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 Azure 리소스에 대한 사용자 지정 역할을 만들면 됩니다.
범위: 범위는 액세스가 적용되는 리소스의 세트입니다. 역할에 할당할 때 범위를 정의하여 허용되는 작업을 추가로 제한할 수 있습니다. Azure는 여러 수준(관리 그룹, 구독, 리소스 그룹 또는 리소스)에서 구독을 지정할 수 있습니다. 범위는 부모-자식 관계로 구조화되어 있습니다.