Azure에서 리소스 액세스 관리

  • 아티클

이 문서에서는 리소스, 구독 및 리소스 그룹의 기본 Azure 구문부터 시작하여 Azure에서 리소스를 배포하는 방법을 알아봅니다. 그런 다음 ARM(Azure Resource Manager)에서 리소스를 배포하는 방법을 알아봅니다.

Azure 리소스란?

Azure에서 a 리소스는 Azure가 관리하는 항목입니다. 가상 머신, 가상 네트워크 및 스토리지 계정은 Azure 리소스의 모든 예제입니다.

Diagram of a resource.

Azure 리소스 그룹이란?

Azure의 각 리소스는 리소스 그룹에해야 합니다. 리소스 그룹은 수명 주기 및 보안에 따라 단일 엔터티로 관리할 수 있도록 여러 리소스를 연결하는 논리 컨테이너입니다. 예를 들어 리소스가 n 계층 애플리케이션에 대한 리소스와 같이 유사한 수명 주기를 공유하는 경우 리소스를 그룹으로 만들거나 삭제할 수 있습니다. 즉, 함께 만들고 관리하고 더 이상 사용하지 않는 모든 항목이 리소스 그룹 내에서 연결됩니다.

Diagram of a resource group containing a resource.

권장되는 모범 사례는 리소스 그룹 및 여기에 포함된 리소스를 Azure 구독과 연결하는 것입니다.

Azure 구독이란?

Azure 구독은 리소스 그룹과 해당 리소스를 연결하는 논리적 컨테이너에서 리소스 그룹과 비슷합니다. Azure 구독은 Azure Resource Manager 컨트롤과도 연결됩니다. Azure Resource Manager 및 Azure 구독과의 관계에 대해 알아봅니다.

Diagram of an Azure subscription.

Azure Resource Manager란?

Azure의 작동 방식에서 Azure에는 Azure의 기능을 오케스트레이션하는 서비스를 사용하는 프런트 엔드가 포함된다는 사실을 알아봅니다. 이러한 서비스 중 하나는 Azure Resource Manager입니다. 이 서비스는 리소스를 관리하는 데 사용하는 RESTful API 클라이언트를 호스트합니다.

Diagram of Azure Resource Manager.

다음 그림은 Azure PowerShell, Azure PortalAzure CLI라는 세 가지 클라이언트를 보여 줍니다.

Diagram of Azure clients connecting to the Resource Manager REST API.

이러한 클라이언트가 REST API를 사용하여 Resource Manager에 연결하는 반면 Resource Manager에는 리소스를 직접 관리하는 기능이 포함되지 않습니다. 대신 Azure의 대부분의 리소스 종류에는 자체 리소스 공급자가 있습니다.

Diagram of Azure resource providers.

클라이언트가 특정 리소스를 관리하도록 요청하면 Azure Resource Manager는 해당 리소스 종류에 대한 리소스 공급자에 연결하여 요청을 완료합니다. 예를 들어 클라이언트에서 가상 머신 리소스를 관리하도록 요청하는 경우 Azure Resource Manager는 Microsoft.Compute 리소스 공급자에 연결합니다.

Diagram of Azure Resource Manager connecting to the Microsoft.Compute resource provider.

Azure Resource Manager를 사용하려면 클라이언트에서 가상 머신 리소스를 관리하기 위해 구독 및 리소스 그룹 모두에 대한 식별자를 지정해야 합니다.

Azure Resource Manager의 작동 방식을 이해하면 Azure 구독을 Azure Resource Manager 컨트롤과 연결하는 방법을 알아볼 수 있습니다. Azure Resource Manager에서 리소스 관리 요청을 실행하기 전에 다음 컨트롤 집합을 검토하세요.

첫 번째 컨트롤은 인증된 사용자가 요청해야 한다는 것입니다. 또한 Azure Resource Manager는 사용자 ID 기능을 제공하려면 Microsoft Entra ID신뢰할 수 있는 관계가 있어야 합니다.

Diagram of Microsoft Entra ID.

Microsoft Entra ID에서 사용자를 테넌트로 분할할 수 있습니다. 테넌트는 일반적으로 조직과 연결하는 Microsoft Entra ID의 안전한 전용 인스턴스를 나타내는 논리적 구문입니다. 각 구독을 Microsoft Entra 테넌트에 연결할 수도 있습니다.

A Microsoft Entra tenant associated with a subscription

특정 구독에서 리소스를 관리하기 위한 각 클라이언트 요청은 사용자에게 연결된 Microsoft Entra 테넌트에 계정이 있어야 합니다.

다음 컨트롤은 사용자에게 요청할 충분한 권한이 있는지 확인합니다. Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 사용자에 대한 권한을 할당합니다.

Users assigned to Azure roles

Azure 역할은 사용자가 특정 리소스에 대해 수행할 수 있는 일련의 사용 권한을 지정합니다. 사용자에게 역할이 할당되면 해당 권한이 적용됩니다. 예를 들어 기본 제공 소유자 역할을 사용하면 사용자가 리소스에서 모든 작업을 실행할 수 있습니다.

다음 컨트롤은 Azure 리소스 정책에 지정된 설정에서 요청이 허용되는 검사. Azure 리소스 정책은 특정 리소스에 허용되는 작업을 지정합니다. 예를 들어 Azure 리소스 정책은 사용자가 특정 형식의 가상 머신만을 배포할 수 있도록 지정할 수 있습니다.

Azure resource policy

다음 컨트롤은 요청이 Azure 구독 제한을 초과하지 않는지 검사합니다. 예를 들어 각 구독에는 구독당 980개의 리소스 그룹이 제한됩니다. 제한 개수에 도달했을 때 다른 리소스 그룹을 배포하라는 요청을 받으면 거부하세요.

Diagram of Azure resource limits.

최종 컨트롤은 구독과 연결된 재무 약정 내에 요청이 있는지 확인하기 위해 검사합니다. 예를 들어 가상 머신을 배포하도록 하는 요청인 경우 Azure Resource Manager는 구독에 충분한 결제 정보가 있는지 확인합니다.

Diagram of a financial commitment associated with a subscription.

요약

이 문서에서는 Azure Resource Manager를 사용하여 Azure에서 리소스 액세스를 관리하는 방법에 대해 알아보았습니다.

다음 단계

Azure용 Microsoft 클라우드 채택 프레임워크를 사용한 클라우드 채택에 대해 자세히 알아봅니다.

Azure에 대한 Microsoft 클라우드 채택 프레임워크