클래식 구독 관리자 역할, Azure RBAC 역할 및 Azure AD 관리자 역할Classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles

Azure를 처음 접하는 경우 Azure의 다양한 역할을 모두 이해하기가 약간 힘들 수 있습니다.If you are new to Azure, you may find it a little challenging to understand all the different roles in Azure. 이 문서에서는 다음 역할에 대해 설명하고 각 역할의 사용 시기에 대해 설명합니다.This article helps explain the following roles and when you would use each:

  • 클래식 구독 관리자 역할Classic subscription administrator roles
  • Azure RBAC(역할 기반 액세스 제어) 역할Azure role-based access control (RBAC) roles
  • Azure AD(Active Directory) 관리자 역할Azure Active Directory (Azure AD) administrator roles

Azure의 역할을 보다 정확하게 이해하려면 역사를 살펴보는 것이 좋습니다.To better understand roles in Azure, it helps to know some of the history. Azure가 처음 릴리스되었을 때 계정 관리자, 서비스 관리자 및 공동 관리자만이 리소스 액세스 권한을 관리할 수 있었습니다.When Azure was initially released, access to resources was managed with just three administrator roles: Account Administrator, Service Administrator, and Co-Administrator. 이후 Azure 리소스에 대한 RBAC(역할 기반 액세스 제어)가 추가되었습니다.Later, role-based access control (RBAC) for Azure resources was added. Azure RBAC는 Azure 리소스에 대한 액세스를 세밀하게 관리할 수 있는 새로운 권한 부여 시스템입니다.Azure RBAC is a newer authorization system that provides fine-grained access management to Azure resources. RBAC는 여러 범위에서 할당할 수 있는 기본 제공 역할을 많이 포함하고 있으며, 고유의 사용자 지정 역할을 만들 수 있습니다.RBAC includes many built-in roles, can be assigned at different scopes, and allows you to create your own custom roles. Azure AD에서 사용자, 그룹, 도메인 등의 리소스를 관리할 수 있도록 여러 Azure AD 관리자 역할이 있습니다.To manage resources in Azure AD, such as users, groups, and domains, there are several Azure AD administrator roles.

다음 다이어그램은 클래식 구독 관리자 역할, Azure RBAC 역할 및 Azure AD 관리자 역할의 관계를 개략적으로 보여줍니다.The following diagram is a high-level view of how the classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles are related.

Azure의 여러 역할

클래식 구독 관리자 역할Classic subscription administrator roles

계정 관리자, 서비스 관리자 및 공동 관리자는 Azure에 있는 세 가지 클래식 구독 관리자 역할입니다.Account Administrator, Service Administrator, and Co-Administrator are the three classic subscription administrator roles in Azure. 클래식 구독 관리자는 Azure 구독에 대한 모든 권한을 보유합니다.Classic subscription administrators have full access to the Azure subscription. 이들은 Azure Portal, Azure Resource Manager API 및 클래식 배포 모델 API를 사용하여 리소스를 관리할 수 있습니다.They can manage resources using the Azure portal, Azure Resource Manager APIs, and the classic deployment model APIs. Azure에 등록하는 데 사용된 계정은 자동으로 계정 관리자와 서비스 관리자로 설정됩니다.The account that is used to sign up for Azure is automatically set as both the Account Administrator and Service Administrator. 그런 다음 공동 관리자를 추가할 수 있습니다.Then, additional Co-Administrators can be added. 서비스 관리자 및 공동 관리자는 구독 범위에서 소유자 역할(Azure RBAC 역할)이 할당된 사용자와 동일한 액세스 권한을 갖습니다.The Service Administrator and the Co-Administrators have the equivalent access of users who have been assigned the Owner role (an Azure RBAC role) at the subscription scope. 다음 표에서는 이러한 세 가지 클래식 구독 관리 역할의 차이점을 설명합니다.The following table describes the differences between these three classic subscription administrative roles.

클래식 구독 관리자Classic subscription administrator 제한Limit 권한Permissions 메모Notes
계정 관리자Account Administrator Azure 계정당 1개1 per Azure account
  • Azure 계정 센터에 액세스Access the Azure Account Center
  • 계정의 모든 구독 관리Manage all subscriptions in an account
  • 새 구독 만들기Create new subscriptions
  • 구독 취소Cancel subscriptions
  • 구독 요금 청구 변경Change the billing for a subscription
  • 서비스 관리자 변경Change the Service Administrator
개념적으로 구독의 청구 소유자입니다.Conceptually, the billing owner of the subscription.
계정 관리자는 Azure Portal에 액세스할 수 없습니다.The Account Administrator has no access to the Azure portal.
서비스 관리자Service Administrator Azure 구독당 1개1 per Azure subscription
  • Azure Portal에서 서비스 관리Manage services in the Azure portal
  • 사용자를 공동 관리자 역할에 할당Assign users to the Co-Administrator role
기본적으로 새 구독의 경우 계정 관리자가 서비스 관리자이기도 합니다.By default, for a new subscription, the Account Administrator is also the Service Administrator.
서비스 관리자는 구독 범위에서 소유자 역할이 할당된 사용자와 동일한 액세스 권한을 갖습니다.The Service Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.
서비스 관리자는 Azure Portal에 대해 모든 권한을 갖습니다.The Service Administrator has full access to the Azure portal.
공동 관리자Co-Administrator 구독당 200200 per subscription
  • 서비스 관리자와 동일한 액세스 권한을 갖지만, Azure 디렉터리에 대한 구독의 연결을 변경할 수 없습니다.Same access privileges as the Service Administrator, but can’t change the association of subscriptions to Azure directories
  • 사용자를 공동 관리자 역할에 할당할 수 있지만, 서비스 관리자를 변경할 수 없습니다.Assign users to the Co-Administrator role, but cannot change the Service Administrator
공동 관리자는 구독 범위에서 소유자 역할이 할당된 사용자와 동일한 액세스 권한을 갖습니다.The Co-Administrator has the equivalent access of a user who is assigned the Owner role at the subscription scope.

Azure Portal에서 클래식 관리자 탭을 사용하여 공동 관리자를 관리하거나 서비스 관리자를 볼 수 있습니다.In the Azure portal, you can manage Co-Administrators or view the Service Administrator by using the Classic administrators tab.

Azure Portal의 Azure 클래식 구독 관리자

Azure Portal에서 구독의 속성 블레이드에서 서비스 관리자를 보거나 변경하거나 계정 관리자를 볼 수 있습니다.In the Azure portal, you can view or change the Service Administrator or view the Account Administrator on the properties blade of your subscription.

Azure Portal의 계정 관리자 및 서비스 관리자

자세한 내용은 Azure 클래식 구독 관리자를 참조하세요.For more information, see Azure classic subscription administrators.

Azure 계정 및 Azure 구독Azure account and Azure subscriptions

Azure 계정은 청구 관계를 나타냅니다.An Azure account represents a billing relationship. Azure 계정은 사용자 ID이자, 하나 이상의 Azure 구독이자, 연결된 Azure 리소스 집합입니다.An Azure account is a user identity, one or more Azure subscriptions, and an associated set of Azure resources. 계정을 만드는 사람은 해당 계정에서 만든 모든 구독의 계정 관리자입니다.The person who creates the account is the Account Administrator for all subscriptions created in that account. 이 사람은 구독의 기본 서비스 관리자이기도 합니다.That person is also the default Service Administrator for the subscription.

Azure 구독을 사용하여 Azure 리소스에 대한 액세스를 구성할 수 있습니다.Azure subscriptions help you organize access to Azure resources. 리소스 사용을 보고하고, 요금을 청구하고, 지불하는 방식을 제어할 수도 있습니다.They also help you control how resource usage is reported, billed, and paid for. 각 구독은 청구 및 지불 설정이 다를 수 있으므로 사무실, 부서, 프로젝트 등에 따라 구독 및 계획이 다를 수 있습니다.Each subscription can have a different billing and payment setup, so you can have different subscriptions and different plans by office, department, project, and so on. 모든 서비스는 구독에 소속되며, 구독 ID는 프로그래밍 방식 작업에 필요할 수 있습니다.Every service belongs to a subscription, and the subscription ID may be required for programmatic operations.

계정 및 구독은 Azure 계정 센터에서 관리합니다.Accounts and subscriptions are managed in the Azure Account Center.

Azure RBAC 역할Azure RBAC roles

Azure RBAC는 Azure Resource Manager 기반의 권한 부여 시스템으로, 계산 및 스토리지 같은 Azure 리소스에 대한 액세스를 세밀하게 관리할 수 있습니다.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management to Azure resources, such as compute and storage. Azure RBAC에는 70개가 넘는 기본 제공 역할이 포함되어 있습니다.Azure RBAC includes over 70 built-in roles. 네 가지 기본 RBAC 역할이 있습니다.There are four fundamental RBAC roles. 처음 세 개는 모든 리소스 종류에 적용됩니다.The first three apply to all resource types:

Azure RBAC 역할Azure RBAC role 권한Permissions 메모Notes
소유자Owner
  • 모든 리소스에 대한 전체 액세스 권한Full access to all resources
  • 다른 사람에게 액세스 권한을 위임 가능Delegate access to others
서비스 관리자 및 공동 관리자에게 구독 범위에서 소유자 역할이 할당됨The Service Administrator and Co-Administrators are assigned the Owner role at the subscription scope
모든 리소스 종류에 적용됩니다.Applies to all resource types.
기여자Contributor
  • 모든 종류의 Azure 리소스를 만들고 관리Create and manage all of types of Azure resources
  • 다른 사람에게 액세스 권한을 부여할 수 없음Cannot grant access to others
모든 리소스 종류에 적용됩니다.Applies to all resource types.
판독기Reader
  • Azure 리소스 보기View Azure resources
모든 리소스 종류에 적용됩니다.Applies to all resource types.
사용자 액세스 관리자User Access Administrator
  • Azure 리소스에 대한 사용자 액세스 관리Manage user access to Azure resources

나머지 기본 제공 역할은 특정 Azure 리소스의 관리를 허용합니다.The rest of the built-in roles allow management of specific Azure resources. 예를 들어 Virtual Machine 기여자 역할을 사용하면 사용자가 가상 머신을 만들고 관리할 수 있습니다.For example, the Virtual Machine Contributor role allows the user to create and manage virtual machines. 기본 제공 역할의 전체 목록은 Azure 리소스에 대한 기본 제공 역할을 참조하세요.For a list of all the built-in roles, see Built-in roles for Azure resources.

Azure Portal 및 Azure Resource Manager API만이 Azure RBAC를 지원합니다.Only the Azure portal and the Azure Resource Manager APIs support RBAC. RBAC 역할이 할당된 사용자, 그룹 및 애플리케이션은 Azure 클래식 배포 모델 API를 사용할 수 없습니다.Users, groups, and applications that are assigned RBAC roles cannot use the Azure classic deployment model APIs.

Azure Portal에서 RBAC를 사용하는 역할 할당은 액세스 제어(IAM) 블레이드에 나타납니다.In the Azure portal, role assignments using RBAC appear on the Access control (IAM) blade. 이 블레이드는 관리 그룹, 구독, 리소스 그룹 및 다양한 리소스와 같은 포털 전체에서 찾을 수 있습니다.This blade can be found throughout the portal, such as management groups, subscriptions, resource groups, and various resources.

Azure Portal의 액세스 제어(IAM) 블레이드

역할 탭을 클릭하면 기본 제공 역할 및 사용자 지정 역할 목록이 표시됩니다.When you click the Roles tab, you will see the list of built-in and custom roles.

Azure Portal의 기본 제공 역할

자세한 내용은 RBAC 및 Azure Portal을 사용하여 Azure 리소스에 대한 액세스 관리를 참조하세요.For more information, see Manage access to Azure resources using RBAC and the Azure portal.

Azure AD 관리자 역할Azure AD administrator roles

Azure AD 관리자 역할은 사용자 만들기 또는 편집, 다른 사용자에게 관리 역할 할당, 사용자 암호 다시 설정, 사용자 라이선스 관리, 도메인 관리 등 디렉터리의 Azure AD 리소스를 관리하는 데 사용됩니다.Azure AD administrator roles are used to manage Azure AD resources in a directory such as create or edit users, assign administrative roles to others, reset user passwords, manage user licenses, and manage domains. 다음 표에서는 보다 중요한 몇 가지 Azure AD 관리자 역할에 대해 설명합니다.The following table describes a few of the more important Azure AD administrator roles.

Azure AD 관리자 역할Azure AD administrator role 권한Permissions 메모Notes
전역 관리자Global Administrator
  • Azure Active Directory에 페더레이션하는 서비스를 비롯하여 Azure Active Directory의 모든 관리 기능에 대한 액세스 관리Manage access to all administrative features in Azure Active Directory, as well as services that federate to Azure Active Directory
  • 다른 사람에게 관리자 역할 할당Assign administrator roles to others
  • 모든 사용자 및 다른 관리자의 암호 다시 설정Reset the password for any user and all other administrators
Azure Active Directory 테넌트에 등록하는 사람이 전역 관리자가 됩니다.The person who signs up for the Azure Active Directory tenant becomes a Global Administrator.
사용자 관리자User Administrator
  • 사용자 및 그룹과 관련된 모든 것을 만들고 관리Create and manage all aspects of users and groups
  • 지원 티켓 관리Manage support tickets
  • 서비스 상태 모니터링Monitor service health
  • 사용자, 기술 지원팀 관리자 및 다른 사용자 관리자의 암호 변경Change passwords for users, Helpdesk administrators, and other User Administrators
대금 청구 관리자Billing Administrator
  • 구매Make purchases
  • 구독 관리Manage subscriptions
  • 지원 티켓 관리Manage support tickets
  • 서비스 상태 모니터링Monitors service health

Azure Portal의 역할 및 관리자 블레이드에서 Azure AD 관리자 역할 목록을 볼 수 있습니다.In the Azure portal, you can see the list of Azure AD administrator roles on the Roles and administrators blade. Azure AD 관리자 역할의 전체 목록은 Azure Active Directory에서 관리자 역할 사용 권한을 참조하세요.For a list of all the Azure AD administrator roles, see Administrator role permissions in Azure Active Directory.

Azure Portal의 Azure AD 관리자 역할

Azure RBAC 역할과 Azure AD 관리자 역할의 차이점Differences between Azure RBAC roles and Azure AD administrator roles

간단하게 보자면, Azure RBAC 역할은 Azure 리소스를 관리하는 권한을 제어하고, Azure AD 관리자 역할은 Azure Active Directory 리소스를 관리하는 권한을 제어합니다.At a high level, Azure RBAC roles control permissions to manage Azure resources, while Azure AD administrator roles control permissions to manage Azure Active Directory resources. 다음 표에서는 몇 가지 차이점을 비교합니다.The following table compares some of the differences.

Azure RBAC 역할Azure RBAC roles Azure AD 관리자 역할Azure AD administrator roles
Azure 리소스에 대한 액세스 관리Manage access to Azure resources Azure Active Directory 리소스에 대한 액세스 관리Manage access to Azure Active Directory resources
사용자 지정 역할 지원Supports custom roles 고유의 역할을 만들 수 없음Cannot create your own roles
여러 수준(관리 그룹, 구독, 리소스 그룹, 리소스)에서 범위를 지정할 수 있음Scope can be specified at multiple levels (management group, subscription, resource group, resource) 범위는 테넌트 수준Scope is at the tenant level
Azure Portal, Azure CLI, Azure PowerShell, Azure Resource Manager 템플릿, REST API에서 역할 정보에 액세스 가능Role information can be accessed in Azure portal, Azure CLI, Azure PowerShell, Azure Resource Manager templates, REST API 역할 정보는 Azure 관리 포털, Microsoft 365 관리 센터, Microsoft Graph, Azure AD PowerShell에서 액세스할 수 있음Role information can be accessed in Azure admin portal, Microsoft 365 admin center, Microsoft Graph, AzureAD PowerShell

Azure RBAC 역할과 Azure AD 관리자 역할이 겹치나요?Do Azure RBAC roles and Azure AD administrator roles overlap?

기본적으로 Azure RBAC 역할과 Azure AD 관리자 역할은 Azure 및 Azure AD를 다루지 않습니다.By default, Azure RBAC roles and Azure AD administrator roles do not span Azure and Azure AD. 그러나 전역 관리자가 Azure Portal에서 전역 관리자는 Azure 구독 및 관리 그룹을 관리할 수 있습니다. 스위치를 선택하여 액세스 권한을 높이면 전역 관리자에게 특정 테넌트의 모든 구독에 대한 사용자 액세스 관리자 역할(RBAC 역할)이 부여됩니다.However, if a Global Administrator elevates their access by choosing the Global admin can manage Azure Subscriptions and Management Groups switch in the Azure portal, the Global Administrator will be granted the User Access Administrator role (an RBAC role) on all subscriptions for a particular tenant. 사용자 액세스 관리자 역할은 사용자가 다른 사용자에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있게 해줍니다.The User Access Administrator role enables the user to grant other users access to Azure resources. 이 스위치는 구독에 대한 액세스 권한을 다시 얻고자 할 때 유용하게 사용할 수 있습니다.This switch can be helpful to regain access to a subscription. 자세한 내용은 Azure AD 관리자로 액세스 권한 상승을 참조하세요.For more information, see Elevate access as an Azure AD administrator.

여러 Azure AD 관리자 역할은 전역 관리자 및 사용자 관리자 역할 같은 Azure AD 및 Microsoft Office 365를 포괄합니다.Several Azure AD administrator roles span Azure AD and Microsoft Office 365, such as the Global Administrator and User Administrator roles. 예를 들어 전역 관리자 역할의 구성원은 Azure AD 및 Office 365에서 Microsoft Exchange와 Microsoft SharePoint를 변경하는 등의 전역 관리자 기능을 사용할 수 있습니다.For example, if you are a member of the Global Administrator role, you have global administrator capabilities in Azure AD and Office 365, such as making changes to Microsoft Exchange and Microsoft SharePoint. 그러나 기본적으로 전역 관리자는 Azure 리소스에 액세스할 수 없습니다.However, by default, the Global Administrator doesn't have access to Azure resources.

Azure RBAC 역할과 Azure AD 관리자 역할 비교

다음 단계Next steps