역할 기반 액세스 제어를 사용 하 여 Azure Stack 허브의 리소스에 대 한 액세스 관리

Azure Stack 허브는 Microsoft Azure에서 사용 하는 액세스 관리와 동일한 보안 모델인 RBAC (역할 기반 액세스 제어)를 지원 합니다. RBAC를 사용 하 여 구독, 리소스 및 서비스에 대 한 사용자, 그룹 또는 앱 액세스를 관리할 수 있습니다.

액세스 관리의 기본 사항

RBAC (역할 기반 액세스 제어)는 환경을 보호 하는 데 사용할 수 있는 세분화 된 액세스 제어를 제공 합니다. 특정 범위에서 RBAC 역할을 할당 하 여 필요한 정확한 사용 권한을 사용자에 게 부여 합니다. 역할 할당의 범위는 구독, 리소스 그룹 또는 단일 리소스가 될 수 있습니다. 액세스 관리에 대 한 자세한 내용은 Azure Portal 문서의 역할 기반 Access Control 를 참조 하세요.

참고

Azure Stack 허브가 Active Directory Federation Services를 사용 하 여 id 공급자로 배포 되 면 RBAC 시나리오에 유니버설 그룹만 지원 됩니다.

기본 제공 역할

Azure Stack 허브에는 모든 리소스 유형에 적용할 수 있는 세 가지 기본 역할이 있습니다.

  • Owner: 리소스에 대 한 액세스를 포함 하 여 모든 것을 관리할 수 있습니다.
  • 참가자: 리소스에 대 한 액세스를 제외한 모든 것을 관리할 수 있습니다.
  • 읽기 권한자: 모든 항목을 볼 수 있지만 변경할 수는 없습니다.

리소스 계층 구조 및 상속

Azure Stack 허브에는 다음과 같은 리소스 계층이 있습니다.

  • 각 구독은 하나의 디렉터리에 속합니다.
  • 각 리소스 그룹은 하나의 구독에 속합니다.
  • 각 리소스는 하나의 리소스 그룹에 속합니다.

부모 범위에서 부여 하는 액세스는 자식 범위에서 상속 됩니다. 예를 들면 다음과 같습니다.

  • 구독 범위에서 Azure AD 그룹에 읽기 권한자 역할을 할당 합니다. 해당 그룹의 멤버는 구독에서 모든 리소스 그룹 및 리소스를 볼 수 있습니다.
  • 리소스 그룹 범위에서 앱에 참가자 역할을 할당 합니다. 앱은 해당 리소스 그룹에 있는 모든 유형의 리소스를 관리할 수 있지만 구독의 다른 리소스 그룹은 관리할 수 없습니다.

역할 할당

사용자에 게 둘 이상의 역할을 할당할 수 있으며 각 역할은 다른 범위와 연결 될 수 있습니다. 예를 들면 다음과 같습니다.

  • TestUser-A 구독자 역할을 구독-1에 할당 합니다.
  • TestUser-A 소유자 역할을 testvm-1에 할당 합니다.

Azure 역할 할당 문서에서는 역할 보기, 할당 및 삭제에 대 한 자세한 정보를 제공 합니다.

사용자에 대한 액세스 권한을 설정합니다

다음 단계에서는 사용자에 대 한 사용 권한을 구성 하는 방법을 설명 합니다.

  1. 관리하려는 리소스에 대한 소유자 권한이 있는 계정으로 로그인합니다.

  2. 왼쪽의 탐색 창에서 리소스 그룹을 선택합니다.

  3. 사용 권한을 설정 하려는 리소스 그룹의 이름을 선택 합니다.

  4. 리소스 그룹 탐색 창에서 액세스 제어 (IAM) 를 선택 합니다.
    역할 할당 보기에는 리소스 그룹에 대 한 액세스 권한이 있는 항목이 나열 됩니다. 결과를 필터링 하 고 그룹화 할 수 있습니다.

  5. 액세스 제어 메뉴 모음에서 추가를 선택 합니다.

  6. 권한 추가 창에서 다음을 수행 합니다.

    • 역할 드롭다운 목록에서 할당 하려는 역할을 선택 합니다.
    • 액세스 권한 할당 드롭다운 목록에서 할당 하려는 리소스를 선택 합니다.
    • 액세스 권한을 부여 하려는 디렉터리에서 사용자, 그룹 또는 앱을 선택 합니다. 표시 이름, 전자 메일 주소 및 개체 식별자를 사용하여 디렉터리를 검색할 수 있습니다.
  7. 저장을 선택합니다.

다음 단계

서비스 주체 만들기