Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할

  • 아티클

Azure를 처음 접하는 경우 Azure의 다양한 역할을 모두 이해하기가 약간 힘들 수 있습니다. 이 문서에서는 다음 역할에 대해 설명하고 각 역할의 사용 시기에 대해 설명합니다.

  • Azure 역할
  • Microsoft Entra 역할
  • 클래식 구독 관리자 역할

Azure의 역할을 보다 정확하게 이해하려면 역사를 살펴보는 것이 좋습니다. Azure가 처음 릴리스되었을 때 계정 관리자, 서비스 관리자, 공동 관리자만이 리소스 액세스 권한을 관리할 수 있었습니다. 나중에 Azure RBAC(Azure역할 기반 액세스 제어)가 추가되었습니다. Azure RBAC는 Azure 리소스에 대한 액세스를 세밀하게 관리할 수 있는 새로운 권한 부여 시스템입니다. Azure RBAC는 여러 범위에서 할당할 수 있는 기본 제공 역할을 많이 포함하고 있으며, 고유의 사용자 지정 역할을 만들 수 있습니다. Microsoft Entra ID에는 사용자, 그룹, 도메인 등의 리소스를 관리하기 위한 여러 가지 Microsoft Entra 역할이 있습니다.

다음 다이어그램은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할이 어떻게 관련되어 있는지에 대한 개략적인 보기입니다.

Azure의 다양한 역할 다이어그램.

Azure 역할

Azure RBACAzure Resource Manager 기반의 권한 부여 시스템으로, 컴퓨팅 및 스토리지 같은 Azure 리소스에 대한 액세스를 세밀하게 관리할 수 있습니다. Azure RBAC에는 100개가 넘는 기본 제공 역할이 포함되어 있습니다. 5가지 기본 Azure 역할이 있습니다. 처음 세 개는 모든 리소스 종류에 적용됩니다.

Azure 역할 사용 권한 주의
담당자
  • 모든 리소스를 관리하기 위한 전체 액세스 권한 부여
  • Azure RBAC에서 역할 할당
 서비스 관리자 및 공동 관리자에게 구독 범위에서 소유자 역할이 할당됨
모든 리소스 유형에 적용됩니다.
기여자
  • 모든 리소스를 관리하기 위한 전체 액세스 권한 부여
  • Azure RBAC에서 역할을 할당할 수 없음
  • Azure Blueprints에서 할당을 관리하거나 이미지 갤러리를 공유할 수 없음
 모든 리소스 유형에 적용됩니다.
판독기
  • Azure 리소스 보기
 모든 리소스 유형에 적용됩니다.
역할 기반 액세스 제어 관리자
  • Azure 리소스에 대한 사용자 액세스 관리
  • Azure RBAC에서 역할 할당
  • 자신 또는 다른 사용자에게 소유자 역할 할당
  • Azure Policy와 같은 다른 방법을 사용하여 액세스를 관리할 수 없음
사용자 액세스 관리자
  • Azure 리소스에 대한 사용자 액세스 관리
  • Azure RBAC에서 역할 할당
  • 자신 또는 다른 사용자에게 소유자 역할 할당

나머지 기본 제공 역할은 특정 Azure 리소스의 관리를 허용합니다. 예를 들어 Virtual Machine 기여자 역할을 사용하면 사용자가 가상 머신을 만들고 관리할 수 있습니다. 기본 제공 역할 전체 목록은 Azure 기본 제공 역할을 참조하세요.

Azure Portal 및 Azure Resource Manager API만이 Azure RBAC를 지원합니다. Azure 역할이 할당된 사용자, 그룹 및 애플리케이션은 Azure 클래식 배포 모델 API를 사용할 수 없습니다.

Azure Portal에서 Azure RBAC를 사용하는 역할 할당은 액세스 제어(IAM) 페이지에 나타납니다. 이 페이지는 관리 그룹, 구독, 리소스 그룹 및 다양한 리소스와 같은 포털 전체에서 찾을 수 있습니다.

Azure Portal의 액세스 제어(IAM) 페이지 스크린샷.

역할 탭을 클릭하면 기본 제공 역할 및 사용자 지정 역할 목록이 표시됩니다.

Azure Portal의 기본 제공 역할 스크린샷

자세한 내용은 Azure Portal을 사용하여 Azure 역할 할당을 참조하십시오.

Microsoft Entra 역할

Microsoft Entra 역할은 사용자 만들기 또는 편집, 다른 사용자에게 관리 역할 할당, 사용자 암호 초기화, 사용자 라이선스 관리, 도메인 관리 등 디렉터리에서 Microsoft Entra 리소스를 관리하는 데 사용됩니다. 다음 표는 Microsoft Entra 역할 가운데 좀 더 중요한 몇 가지를 설명합니다.

Microsoft Entra 역할 사용 권한 주의
전역 관리자
  • Microsoft Entra ID의 모든 관리 기능과 Microsoft Entra ID에 페더레이션되는 서비스에 대한 액세스를 관리합니다.
  • 다른 사람에게 관리자 역할 할당
  • 모든 사용자 및 다른 관리자의 암호 다시 설정
 Microsoft Entra 테넌트에 등록한 사용자가 전역 관리자가 됩니다.
사용자 관리자
  • 사용자 및 그룹과 관련된 모든 것을 만들고 관리
  • 지원 티켓 관리
  • 서비스 상태 모니터링
  • 사용자, 기술 지원팀 관리자 및 다른 사용자 관리자의 암호 변경
대금 청구 관리자
  • 구매
  • 구독 관리
  • 지원 티켓 관리
  • 서비스 상태 모니터링

Azure Portal의 역할 및 관리자 페이지에서 Microsoft Entra 역할 목록을 볼 수 있습니다. 모든 Microsoft Entra 역할 목록은 Microsoft Entra ID의 관리자 역할 권한을 참조하세요.

Azure Portal의 Microsoft Entra 역할 스크린샷

Azure 역할과 Microsoft Entra 역할의 차이점

간단히 말하면 Azure 역할은 Azure 리소스를 관리하는 권한을 제어하고, Microsoft Entra 역할은 Microsoft Entra 리소스를 관리하는 권한을 제어합니다. 다음 표에서는 몇 가지 차이점을 비교합니다.

Azure 역할 Microsoft Entra 역할
Azure 리소스에 대한 액세스 관리 Microsoft Entra 리소스에 대한 액세스 관리
사용자 지정 역할 지원 사용자 지정 역할 지원
여러 수준(관리 그룹, 구독, 리소스 그룹, 리소스)에서 범위를 지정할 수 있음 범위는 테넌트 수준(조직 전체), 관리 단위 또는 개별 개체(예: 특정 애플리케이션)에서 지정할 수 있습니다.
Azure Portal, Azure CLI, Azure PowerShell, Azure Resource Manager 템플릿, REST API에서 역할 정보에 액세스 가능 역할 정보는 Azure Portal, Microsoft Entra 관리 센터, Microsoft 365 관리 센터, Microsoft Graph, Microsoft Graph PowerShell에서 액세스할 수 있습니다.

Azure 역할과 Microsoft Entra 역할이 겹치나요?

기본적으로 Azure 역할과 Microsoft Entra 역할은 Azure와 Microsoft Entra ID를 포괄하지 않습니다. 그러나 전역 관리자가 Azure Portal에서 Azure 리소스에 대한 액세스 관리 스위치를 선택하여 액세스 권한을 높이면 전역 관리자에게 특정 테넌트의 모든 구독에 대한 사용자 액세스 관리자 역할(Azure 역할)이 부여됩니다. 사용자 액세스 관리자 역할은 사용자가 다른 사용자에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있게 해줍니다. 이 스위치는 구독에 대한 액세스 권한을 다시 얻고자 할 때 유용하게 사용할 수 있습니다. 자세한 내용은 모든 Azure 구독 및 관리 그룹을 관리할 수 있도록 액세스 권한 상승을 참조하세요.

여러 Microsoft Entra 역할이 Microsoft Entra ID와 Microsoft 365(예: 전역 관리자 및 사용자 관리자 역할)를 포괄합니다. 예를 들어 전역 관리자 역할의 구성원은 Microsoft Entra ID와 Microsoft 365에서 Microsoft Exchange와 Microsoft SharePoint를 변경하는 등의 전역 관리자 기능이 있습니다. 그러나 기본적으로 전역 관리자는 Azure 리소스에 액세스할 수 없습니다.

Azure RBAC 및 Microsoft Entra 역할을 보여 주는 다이어그램

클래식 구독 관리자 역할

Important

클래식 리소스 및 클래식 관리자는 2024년 8월 31일에 종료됩니다. 2024년 4월 3일부터 새 공동 관리 추가할 수 없습니다. 이 날짜는 최근에 연장되었습니다. 불필요한 공동 관리자를 제거하고 세분화된 액세스 제어를 위해 Azure RBAC를 사용합니다.

Azure의 세 가지 클래식 구독 관리자 역할은 계정 관리자, 서비스 관리자 및 공동 관리자입니다. 클래식 구독 관리자는 Azure 구독에 대한 모든 권한을 보유합니다. 이들은 Azure Portal, Azure Resource Manager API 및 클래식 배포 모델 API를 사용하여 리소스를 관리할 수 있습니다. Azure에 등록하는 데 사용하는 계정이 계정 관리자와 서비스 관리자로 자동 설정됩니다. 그런 다음 공동 관리자를 추가할 수 있습니다. 서비스 관리자 및 공동 관리자는 구독 범위에서 소유자 역할(Azure 역할)이 할당된 사용자와 동일한 액세스 권한을 갖습니다. 다음 표에서는 이러한 세 가지 클래식 구독 관리 역할의 차이점을 설명합니다.

클래식 구독 관리자 제한 사용 권한 주의
계정 관리자 Azure 계정당 1개
  • Azure Portal에 액세스하고 청구를 관리할 수 있습니다.
  • 계정의 모든 구독에 대한 청구 관리
  • 새 구독 만들기
  • 구독 취소
  • 구독 요금 청구 변경
  • 서비스 관리자 변경
  • 서비스 관리자 또는 구독 소유자 역할이 없으면 구독을 취소할 수 없습니다.
 개념적으로 구독의 청구 소유자입니다.
서비스 관리자 Azure 구독당 1개
  • Azure Portal에서 서비스 관리
  • 구독 취소
  • 사용자를 공동 관리자 역할에 할당
 기본적으로 새 구독의 경우 계정 관리자가 서비스 관리자이기도 합니다.
서비스 관리자는 구독 범위에서 소유자 역할이 할당된 사용자와 동일한 액세스 권한을 갖습니다.
서비스 관리자는 Azure Portal에 대해 모든 권한을 갖습니다.
공동 관리자 구독당 200
  • 서비스 관리자와 동일한 액세스 권한이 있지만 Microsoft Entra 디렉터리에 대한 구독 연결을 변경할 수 없습니다.
  • 사용자를 공동 관리자 역할에 할당할 수 있지만, 서비스 관리자를 변경할 수 없습니다.
 공동 관리자는 구독 범위에서 소유자 역할이 할당된 사용자와 동일한 액세스 권한을 갖습니다.

Azure Portal에서 클래식 관리자 탭을 사용하여 공동 관리자를 관리하거나 서비스 관리자를 볼 수 있습니다.

Azure Portal의 Azure 클래식 구독 관리자 스크린샷

자세한 내용은 Azure 클래식 구독 관리자를 참조하세요.

Azure 계정 및 Azure 구독

Azure 계정은 청구 관계를 설정하는 데 사용됩니다. Azure 계정은 사용자 ID이자, 하나 이상의 Azure 구독이자, 연결된 Azure 리소스 집합입니다. 계정을 만드는 사람은 해당 계정에서 만든 모든 구독의 계정 관리자입니다. 이 사람은 구독의 기본 서비스 관리자이기도 합니다.

Azure 구독을 사용하여 Azure 리소스에 대한 액세스를 구성할 수 있습니다. 리소스 사용을 보고하고, 요금을 청구하고, 지불하는 방식을 제어할 수도 있습니다. 각 구독의 청구 및 지불 설정이 다를 수 있으므로 사무실, 부서, 프로젝트 등에 따라 여러 구독 및 플랜을 보유할 수 있습니다. 모든 서비스는 구독에 소속되며, 구독 ID는 프로그래밍 방식 작업에 필요할 수 있습니다.

각 구독은 Microsoft Entra 디렉터리와 연결되어 있습니다. 구독이 연결된 디렉터리를 찾으려면 Azure Portal에서 구독을 열고 구독을 선택하여 해당 디렉터리를 확인합니다.

계정 및 구독은 Azure Portal에서 관리합니다.

다음 단계