Question) 

Azure 계정을 등록해서 사용하려고 하는데요. Azure 가이드를 참고하였는데 "권한을 부여할 구독을 선택합니다"  부분에서 구독 정보가 보이지 않습니다. 


Answer) 

구독 정보를 열람할 수 없는 것은 Azure AD상에서 전역 관리자나 권한 있는 역할 관리자가 아니거나 구독 상에서 역할을 할당할 수 있는 소유자 권한이 아니기 때문입니다.


본 솔루션에서는 권한 할당을 통해 리소스를 제어하고, 효율적으로 운영하는 방법에 대해서 알아보겠습니다.


아래 그림을 참고하여 Azure 상에서의 권한 제어를 크게 나누자면 Azure AD 역할과 Azure의 역할입니다.

결론부터 정리하자면,

  • Azure 역할은 Azure상의 관리그룹, 구독의 범위에서 Azure 리소스 그룹, 리소스에 대한 액세스 관리이고,

  • Azure AD 역할조직(테넌트)의 범위에서 Active Directory 리소스에 대한 액세스 관리입니다.


각 역할에 대해 좀 더 자세히 알아보겠습니다.

Azure AD Role


테넌트 레벨에서 역할을 할당하는 Azure AD 규칙은 각 사용자에게 전역 관리자, 사용자 관리자, 결제 관리자 외의 수많은 AD 관련 역할을 할당할 수 있습니다.

테넌트 뿐만 아니라 Microsoft 365와 같은 SaaS 서비스의 액세스 관리도 가능합니다.

테넌트를 생성한 사용자에게 자동으로 할당되는 전역 관리자는 Azure AD 및 Azure AD ID를 사용하는 Microsoft 서비스의 모든 측면을 관리할 수 있습니다. 

이외에도 게스트를 초대하는 게스트 초대자, 보안 이벤트를 만드는 보안 운영자, 그룹 정책과 설정을 담당하는 그룹 관리자 등이 있습니다.


권한 할당 방법


        1. [Azure 포털 > Azure Active Directory > 역할 및 관리자] 클릭

               



        2.  원하는 역할을 선택한 후 할당 추가하여 사용자를 편집

            단, 권한을 추가하기 위해서는 관리 역할을 수정할 수 있는 전역 관리자, 권한 있는 역할 관리자 권한이 필요합니다.



하지만, 위 과정을 통해 사용자를 Azure AD에 추가하더라도 해당 사용자가 포털에 접속하였을 때 리소스에 접근이 되지 않을 것입니다. 

그 이유는 해당 Azure AD와는 별개로 Azure 포털에 할당되어 있는 구독 권한이 없기 때문입니다. 

따라서 RBAC을 기반으로 Azure 구독에 해당 사용자의 역할을 할당해 주어야 합니다.


사용자, 그룹 및 도메인과 같은 Azure AD의 리소스를 관리하기 위해 여러 Azure AD 역할이 있다면,

Azure 리소스를 관리하기 위해서는 Azure RBAC 즉, 규칙 기반 액세스 제어 있습니다.


그전에 RBAC 개념을 도입하기 전, Azure가 처음 출시되었을 때 리소스에 대한 액세스는 클래식 Azure 역할로 구분되었습니다.



클래식 Azure Role


구독개념 솔루션에서 리소스그룹을 설명하며 클래식 배포 모델을 잠깐 언급하였습니다. Resource Manager 도입 전 클래식 배포 모델에 권한을 할당하는 것이 클래식 Azure 역할입니다. 구독 레벨에서 할당할 수 있는 액세스로서 계정 관리자, 서비스 관리자, 공동 관리자가  있습니다.

  • 계정 관리자 : Azure 계정당 1명, 구독 청구 관리, 새 구독 생성/취소, 서비스 관리자 변경 가능
  • 서비스 관리자 : Azure 구독 당 1명, 리소스 전체 액세스 가능, 구독 취소 가능, 공동 관리자에 사용자 할당 가능
  • 공동 관리자 : Azure 구독 당 200명, 서비스 관리자와 동일한 권한이지만 구독 변경 불가능

클래식 배포 모델은 더 이상 권장되지 않으며 이제 Resource Manager 모델로 대체되었으며 세분화된 Azure 역할 기반 액세스 제어(RBAC)를 사용하는 것을 권장합니다.



RBAC(Role-Based Access Control)

Azure RBAC (Azure 역할 기반 액세스 제어)는 Azure 상에서 특정 리소스에 사용자, 그룹 또는 응용 프로그램에 역할을 할당하여 제어 할 수 있으며 사용자 지정 역할을 만들어 활용할 수 있습니다.

또한, 역할의 범위를 특정 리소스, 리소스 그룹, 구독 또는 관리 그룹 수준으로 제한 할 수 있습니다. 특정 리소스의 권한을 제어하고 싶다면 해당리소스 메뉴의 액세스 제어(IAM)에서 권한을 할당하면 됩니다.


예를 들어, 구독의 구성원이 특정 리소스 그룹 내 가상 머신을 생성하고 관리 할 수 있도록 하기 위해서는 가상 머신 메뉴에서 액세스 제어를 기여자나 소유자, 가상 머신 관리자의 역할로 설정하면 됩니다.


70개 이상의 역할이 포함되지만 가장 자주 사용하는 역할로서 소유자, 기여자, 리더가 있습니다.

권한은 소유자 > 기여자 > 리더 순으로 많습니다.

  • 소유자 : 모든 리소스에 액세스 가능, 다른 사람에게 역할 할당 가능
  • 기여자 : 모든 리소스에 액세스 가능하지만 역할 할당은 불가능
  • 독자 : Azure 상의 리소스 확인 가능하지만 편집은 불가능


권한 할당 방법



        1.  [Azure 포털 > 구독 > 액세스 제어(IAM) > 추가 > 역할 할당 추가]를 클릭

                 


        2. 부여하고자 하는 역할을 선택

           


       3. 어떤 리소스에 역할을 할당할 것인지 선택

             


           4. 역할을 부여할 구독과 사용자를 선택 

               


           5. 생성된 역할을 확인

               



지금까지 Azure AD와 구독 레벨에 권한 할당하는 개념과 방법을 알아보았습니다. 

본 예시를 통하여 역할 제어에 대한 이해하고 문제를 해결하는데 도움이 되셨길 바랍니다.


감사합니다.