사용자 역할 및 권한
클라우드용 Microsoft Defender는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 기본 제공 역할을 제공합니다. Azure의 사용자, 그룹, 서비스에 이러한 역할을 할당하여 역할에 정의된 액세스 권한에 따라 리소스에 대한 액세스 권한을 사용자에게 부여할 수 있습니다.
Defender for Cloud는 리소스 구성을 평가하여 보안 문제와 취약성을 식별합니다. 클라우드용 Defender에서는 구독 또는 리소스가 속한 리소스 그룹에 대해 Owner, Contributor 또는 Reader 역할 중 하나가 할당된 경우에만 리소스와 관련된 정보를 볼 수 있습니다.
기본 제공 역할 외에도 Defender for Cloud와 관련된 두 가지 역할이 있습니다.
- 보안 읽기 권한자: 이 역할에 속한 사용자는 클라우드용 Defender에 대한 읽기 전용 액세스 권한이 있습니다. 권장 사항, 경고, 보안 정책, 보안 상태를 볼 수 있지만 변경할 수는 없습니다.
- 보안 관리자: 이 역할에 속하는 사용자는 보안 읽기 권한자와 동일한 액세스가 있으며 보안 정책을 업데이트하고 경고 및 권장 사항을 해제할 수도 있습니다.
사용자가 자신의 작업을 완료하는 데 필요한 최소한의 역할을 할당하는 것이 좋습니다. 예를 들어, 리소스의 보안 상태에 대한 정보를 보기만 하고 권장 사항 적용이나 정책 편집 등의 조치는 취하지 않는 사용자에게 독자 역할을 할당합니다.
역할 및 허용되는 작업
다음 표에는 Defender for Cloud에서 역할과 허용되는 작업이 나와 있습니다.
| 작업 | 보안 읽기 권한자 판독기 |
보안 관리자 | 기여자 / 소유자 | 기여자 | 담당자 |
|---|---|---|---|---|---|
| (리소스 그룹 수준) | (구독 수준) | (구독 수준) | |||
| 이니셔티브 추가/할당(규정 준수 표준 포함) | - | ✔ | - | - | ✔ |
| 보안 정책 편집 | - | ✔ | - | - | ✔ |
| Microsoft Defender 계획 사용/사용 안 함 | - | ✔ | - | ✔ | ✔ |
| 경고 해제 | - | ✔ | - | ✔ | ✔ |
| 리소스 에 대한 보안 권장 사항 적용(및 수정 사용) |
- | - | ✔ | ✔ | ✔ |
| 경고 및 권장 사항 보기 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 보안 권장 사항 면제 | - | ✔ | - | - | ✔ |
모니터링 구성 요소를 배포하는 데 필요한 특정 역할은 배포 중인 확장에 따라 달라집니다. 구성 요소 모니터링에 대해 자세히 알아봅니다.
에이전트 및 확장을 자동으로 프로비전하는 데 사용되는 역할
보안 관리자 역할이 클라우드용 Defender 플랜에 사용되는 에이전트 및 확장을 자동으로 프로비전할 수 있도록 클라우드용 Defender는 Azure Policy와 유사한 방식으로 정책 수정을 사용합니다. 수정을 사용하려면 클라우드용 Defender가 구독 수준에서 역할을 할당하는 관리 ID라고도 하는 서비스 주체를 만들어야 합니다. 예를 들어 컨테이너용 Defender 플랜의 서비스 주체는 다음과 같습니다.
| 서비스 주체 | 역할 |
|---|---|
| 컨테이너용 Defender 프로비전 AKS 보안 프로필 | • Kubernetes Extension Contributor • Contributor • Azure Kubernetes Service Contributor • Log Analytics Contributor |
| Arc 지원 Kubernetes를 프로비전하는 컨테이너용 Defender | • Azure Kubernetes Service Contributor • Kubernetes Extension Contributor • Contributor • Log Analytics Contributor |
| Kubernetes에 대한 Azure Policy를 프로비전하는 컨테이너용 Defender | • Kubernetes Extension Contributor • Contributor • Azure Kubernetes Service Contributor |
| Arc 지원 Kubernetes에 대한 컨테이너용 Defender 프로비전 정책 확장 | • Azure Kubernetes Service Contributor • Kubernetes Extension Contributor • Contributor |
다음 단계
이 문서에서는 Defender for Cloud가 Azure RBAC를 사용하여 사용자에게 권한을 할당하고 각 역할에 허용되는 작업을 식별하는 방법을 설명했습니다. 이제 구독의 보안 상태를 모니터링하고, 보안 정책을 편집하고, 권장 사항을 적용하는 데 필요한 역할 할당에 익숙해졌으므로 다음을 수행하는 방법을 알아봅니다.