‘거부 할당’은 역할 할당과 마찬가지로 액세스를 거부하기 위해 특정 범위에서 사용자, 그룹 또는 서비스 주체에게 거부 작업 세트를 연결합니다. 거부 할당은 역할 할당이 사용자에게 액세스 권한을 부여하더라도 특정 Azure 리소스 작업을 사용자가 수행할 수 없도록 차단합니다.
이 문서에서는 거부 할당을 나열하는 방법을 설명합니다.
Important
사용자 고유의 거부 할당을 직접 만들 수는 없습니다. 거부 할당은 Azure에서 만들고 관리합니다.
거부 할당을 만드는 방법
거부 할당은 리소스를 보호하기 위해 Azure에서 만들고 관리합니다. 사용자 고유의 거부 할당을 직접 만들 수는 없습니다. 그러나 배포 스택을 만들 때 거부 설정을 지정하여 배포 스택 리소스가 소유한 거부 할당을 만들 수 있습니다. 배포 스택은 현재 미리 보기로 제공됩니다. 자세한 내용은 삭제로부터 관리되는 리소스 보호를 참조하세요.
거부 할당이 적용되는 Microsoft Entra 보안 주체 개체 ID(사용자, 그룹, 서비스 주체 또는 관리 ID)의 배열입니다. 모든 보안 주체를 나타내려면 빈 GUID 00000000-0000-0000-0000-000000000000으로 설정합니다.
Principals[i].Type
아니요
String[]
Principals[i].Id로 표현되는 개체 형식의 배열입니다. 모든 보안 주체를 나타내려면 SystemDefined로 설정합니다.
ExcludePrincipals[i].Id
아니요
String[]
거부 할당이 적용되지 않는 Microsoft Entra 보안 주체 개체 ID(사용자, 그룹, 서비스 주체 또는 관리 ID)의 배열입니다.
ExcludePrincipals[i].Type
아니요
String[]
ExcludePrincipals[i].Id로 표시되는 개체 유형의 배열입니다.
IsSystemProtected
아니요
부울
이 거부 할당이 Azure에서 생성되었으며 편집하거나 삭제할 수 없는지 여부를 지정합니다. 현재 모든 거부 할당은 시스템에서 보호됩니다.
모든 보안 주체
거부 할당을 지원하기 위해 모든 보안 주체라는 시스템 정의 보안 주체가 도입되었습니다. 이 주체는 Microsoft Entra의 모든 사용자, 그룹, 서비스 주체 및 관리 ID를 나타냅니다. 보안 주체 ID가 0만 포함하는 GUID 00000000-0000-0000-0000-000000000000이고 보안 주체 유형이 SystemDefined이면 보안 주체는 모든 보안 주체를 나타냅니다. Azure PowerShell 출력에서 모든 보안 주체는 다음과 같습니다.
대부분의 Azure 기본 제공 역할에 포함되어 있는 Microsoft.Authorization/denyAssignments/read 권한
Azure Portal에서 거부 할당 나열
구독 또는 관리 그룹 범위에서 거부 할당을 보려면 다음 단계를 따릅니다.
Azure Portal에서 리소스 그룹 또는 구독과 같은 선택한 범위를 엽니다.
액세스 제어(IAM) 를 선택합니다.
거부 할당 탭을 선택하거나 거부 할당 보기 타일에서 보기 단추를 선택합니다.
이 범위에 거부 할당이 있거나 이 범위에 상속된 경우 해당 할당이 나열됩니다.
추가 열을 표시하려면 열 편집을 선택합니다.
열
설명
이름
거부 할당의 이름입니다.
주체 유형
사용자, 그룹, 시스템 정의 그룹 또는 서비스 주체입니다.
거부됨
거부 할당에 포함된 보안 주체의 이름입니다.
ID
거부 할당의 고유 식별자입니다.
제외된 보안 주체
거부 할당에서 제외된 보안 주체가 있는지 여부입니다.
자식에 적용되지 않음
거부 할당이 하위 범위에 상속되는지 여부입니다.
시스템 보호됨
거부 할당이 Azure에서 관리되는지 여부입니다. 현재, 항상 예입니다.
범위
관리 그룹, 구독, 리소스 그룹 또는 리소스입니다.
사용 가능한 항목에 검사 표시를 추가한 다음 확인을 선택하여 선택한 열을 표시합니다.
거부 할당에 관한 세부 정보 나열
거부 할당에 관한 추가 세부 정보를 나열하려면 다음 단계를 따르세요.
이전 섹션에 설명한 대로 거부 할당 창을 엽니다.
거부 할당 이름을 선택하여 사용자 페이지를 엽니다.
사용자 페이지에는 다음 두 섹션이 포함되어 있습니다.
거부 설정
설명
거부 할당 적용 대상
거부 할당이 적용되는 보안 주체입니다.
거부 할당 제외 대상
거부 할당에서 제외된 보안 주체입니다.
시스템 정의 보안 주체 는 Azure AD 디렉터리의 모든 사용자, 그룹, 서비스 주체 및 관리 ID를 나타냅니다.
거부된 사용 권한 목록을 보려면 거부된 사용 권한을 선택합니다.
작업 유형
설명
actions
컨트롤 플레인 작업이 거부되었습니다.
NotActions
거부된 컨트롤 플레인 작업에서 제외된 컨트롤 플레인 작업입니다.
DataActions
데이터 평면 작업이 거부되었습니다.
NotDataActions
거부된 데이터 평면 작업에서 제외된 데이터 평면 작업입니다.
이전 스크린샷에 나온 예의 경우 다음이 유효 권한입니다.
컴퓨팅 작업을 제외하고 데이터 평면에 있는 모든 스토리지 작업이 거부됩니다.
거부 할당에 대한 속성을 보려면 속성을 선택합니다.
속성 페이지에서 거부 할당 이름, ID, 설명 및 범위를 볼 수 있습니다. 자식에 적용되지 않음 스위치는 거부 할당이 하위 범위에 상속되는지 여부를 나타냅니다. 시스템 보호됨 스위치는 이 거부 할당이 Azure에서 관리되는지 여부를 나타냅니다. 현재, 모든 경우에 대해 예입니다.
필수 조건
거부 할당에 대한 정보를 가져오려면 다음이 있어야 합니다.
대부분의 Azure 기본 제공 역할에 포함되어 있는 Microsoft.Authorization/denyAssignments/read 권한
지정된 범위 이상에 대해서만 거부 할당을 나열합니다. 하위 범위에 있는 거부 할당을 포함하지 않습니다.
$filter=assignedTo('{objectId}')
지정된 사용자 또는 서비스 주체에 대한 거부 할당을 나열합니다. 사용자가 거부 할당이 있는 그룹의 멤버인 경우 해당 거부 할당도 나열됩니다. 해당 필터는 그룹에 대해 전이적입니다. 즉, 사용자가 그룹의 멤버이고 해당 그룹이 거부 할당이 있는 다른 그룹의 멤버인 경우에도 해당 거부 할당이 나열됩니다. 해당 필터는 사용자 또는 서비스 주체의 개체 ID만 허용합니다. 그룹의 개체 ID를 전달할 수는 없습니다.
