RBAC 및 Azure Portal을 사용하여 Azure 리소스에 대한 액세스 관리Manage access to Azure resources using RBAC and the Azure portal

RBAC(역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 방법입니다.Role-based access control (RBAC) is the way that you manage access to Azure resources. 이 문서에서는 Azure portal을 사용 하 여 액세스를 관리 하는 방법을 설명 합니다.This article describes how you manage access using the Azure portal. Azure Active Directory에 대 한 액세스를 관리 하는 경우 참조 Azure Active Directory에서 관리자 역할 할당 및 보기합니다.If you need to manage access to Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

필수 조건Prerequisites

역할 할당을 추가하거나 제거하려면 다음이 필요합니다.To add and remove role assignments, you must have:

액세스 제어 (IAM) 개요Overview of Access control (IAM)

액세스 제어 (IAM) 블레이드를 사용 하면 Azure 리소스에 대 한 액세스를 관리할입니다.Access control (IAM) is the blade that you use to manage access to Azure resources. Id 및 액세스 관리 라고도 하 고 Azure portal의 여러 위치에 표시 됩니다.It's also known as identity and access management and appears in several locations in the Azure portal. 다음 구독에 대한 액세스 제어(IAM) 블레이드의 예를 보여줍니다.The following shows an example of the Access control (IAM) blade for a subscription.

구독의 액세스 제어(IAM) 블레이드

다음 표에서 어떤 요소 중 일부는 사용:The following table describes what some of the elements are use for:

# 요소Element 용도 대해What you use it for
11 액세스 제어 (IAM)의 인스턴스가 열려 있는 리소스Resource where Access control (IAM) is opened 범위 (이 예제의 구독)를 식별 합니다.Identify scope (subscription in this example)
22 추가 단추Add button 역할 할당 추가Add role assignments
33 액세스 권한 확인Check access tab 단일 사용자에 대 한 역할 할당 보기View the role assignments for a single user
44 역할 할당Role assignments tab 현재 범위에서 역할 할당 보기View the role assignments at the current scope
55 역할Roles tab 모든 역할 및 사용 권한 보기View all roles and permissions

액세스 제어 (IAM) 블레이드를 사용 하 여 가장 효과적인 되도록 하면 도움이 됩니다 액세스를 관리 하려는 경우에 다음 세 가지 질문을 파악할 수 있습니다.To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to manage access:

  1. 액세스는 누가 있습니까?Who needs access?

    사용자, 그룹, 서비스 주체 또는 관리 되는 id를 참조합니다.Who refers to a user, group, service principal, or managed identity. 또한이 호출 됩니다는 보안 주체합니다.This is also called a security principal.

  2. 어떤 권한이 필요는?What permissions do they need?

    사용 권한은 역할에 함께 그룹화 됩니다.Permissions are grouped together into roles. 몇 가지 기본 제공 역할 목록에서 선택할 수 있습니다.You can select from a list of several built-in roles.

  3. 여기서 액세스할 필요가 있습니까?Where do they need access?

    위치에 대 한 액세스를 적용 되는 리소스의 집합을 나타냅니다.Where refers to the set of resources that the access applies to. 관리 그룹, 구독, 리소스 그룹 또는 저장소 계정과 같은 단일 리소스를 수 있습니다.Where can be a management group, subscription, resource group, or a single resource such as a storage account. 이 호출 되는 범위합니다.This is called the scope.

액세스 제어(IAM) 열기Open Access control (IAM)

액세스 제어 (IAM) 블레이드를 열려면 먼저 결정 해야입니다.The first thing you need to decide is where to open the Access control (IAM) blade. 에 대 한 액세스를 관리 하려는 리소스에 따라 다릅니다.It depends on what resources you want to manage access for. 리소스 그룹 또는 단일 리소스에서 모든 구독에서 모든 관리 그룹의 모든 항목에 대 한 액세스를 관리 하 시겠습니까?Do you want to manage access for everything in a management group, everything in a subscription, everything in a resource group, or a single resource?

  1. Azure 포털에서 클릭 모든 서비스 다음 범위를 선택 합니다.In the Azure portal, click All services and then select the scope. 예를 들어 관리 그룹, 구독, 리소스 그룹 또는 리소스를 선택할 수 있습니다.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. 특정 리소스를 클릭 합니다.Click the specific resource.

  3. 액세스 제어(IAM) 를 클릭합니다.Click Access control (IAM).

    다음 구독에 대한 액세스 제어(IAM) 블레이드의 예를 보여줍니다.The following shows an example of the Access control (IAM) blade for a subscription. 여기에서 모든 액세스 제어 변경 한다면 적용 하는 것 전체 구독에 있습니다.If you make any access control changes here, they would apply to the entire subscription.

    구독의 액세스 제어(IAM) 블레이드

역할 및 권한 보기View roles and permissions

역할 정의는 역할 할당에 사용되는 권한 컬렉션입니다.A role definition is a collection of permissions that you use for role assignments. Azure는 Azure 리소스에 대한 기본 제공 역할을 70개 넘게 보유하고 있습니다.Azure has over 70 built-in roles for Azure resources. 사용 가능한 역할 및 사용 권한을 보려면 다음이 단계를 수행 합니다.Follow these steps to view the available roles and permissions.

  1. 오픈 액세스 제어 (IAM) 모든 범위에 있습니다.Open Access control (IAM) at any scope.

  2. 역할 탭을 클릭하여 모든 기본 제공 역할 및 사용자 지정 역할 목록을 봅니다.Click the Roles tab to see a list of all the built-in and custom roles.

    사용자 및 현재 범위에서 각 역할에 할당 된 그룹의 수를 볼 수 있습니다.You can see the number of users and groups that are assigned to each role at the current scope.

    역할 목록

  3. 개별 역할을 클릭하여 이 역할에 할당된 사람을 보거나 해당 역할에 대한 권한을 봅니다.Click an individual role to see who has been assigned this role and also view the permissions for the role.

    역할 할당

역할 할당 보기View role assignments

액세스 권한이 있는 사용자는 사용 권한 이란 알고 싶은 액세스를 관리 하는 경우 어떤 범위입니다.When managing access, you want to know who has access, what are their permissions, and at what scope. 사용자, 그룹, 서비스 주체 또는 관리 서비스 id에 대 한 목록 액세스는 역할 할당을 봅니다.To list access for a user, group, service principal, or managed identity, you view their role assignments.

단일 사용자의 역할 할당 보기View role assignments for a single user

다음 단계에 따라 특정 범위에서 단일 사용자, 그룹, 서비스 주체 또는 관리 ID의 액세스 권한을 볼 수 있습니다.Follow these steps to view the access for a single user, group, service principal, or managed identity at a particular scope.

  1. 관리 그룹, 구독, 리소스 그룹 또는 리소스 등, 액세스 권한을 보려는 범위의 액세스 제어(IAM) 를 엽니다.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. 액세스 권한 확인 탭을 클릭합니다.Click the Check access tab.

    액세스 제어 - 액세스 권한 확인 탭

  3. 찾기 목록에서 액세스 권한을 확인하려는 보안 주체의 유형을 선택합니다.In the Find list, select the type of security principal you want to check access for.

  4. 검색 상자에서 표시 이름, 이메일 주소 또는 개체 ID에 대한 디렉터리를 검색할 문자열을 입력합니다.In the search box, enter a string to search the directory for display names, email addresses, or object identifiers.

    액세스 권한 확인 선택 목록

  5. 보안 주체를 클릭하여 할당 창을 엽니다.Click the security principal to open the assignments pane.

    할당 창

    이 창에서 선택한 보안 주체 및 범위에 할당된 역할을 볼 수 있습니다.On this pane, you can see the roles assigned to the selected security principal and the scope. 이 범위 또는 이 범위로 상속된 거부 할당이 있는 경우 목록으로 표시됩니다.If there are any deny assignments at this scope or inherited to this scope, they will be listed.

특정 범위의 모든 역할 할당 보기View all role assignments at a scope

  1. 관리 그룹, 구독, 리소스 그룹 또는 리소스 등, 액세스 권한을 보려는 범위의 액세스 제어(IAM) 를 엽니다.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to view access.

  2. 역할 할당 탭을 클릭하여 이 범위의 모든 역할 할당을 봅니다.Click the Role assignments tab to view all the role assignments at this scope.

    액세스 제어 - 역할 할당 탭

    역할 할당 탭에서 이 범위에서 액세스 권한이 있는 사용자를 볼 수 있습니다.On the Role assignments tab, you can see who has access at this scope. 일부 역할의 범위는 이 리소스이지만 나머지는 다른 범위에서 (상속) 됩니다.Notice that some roles are scoped to This resource while others are (Inherited) from another scope. 액세스 권한은 이 리소스에 특정적으로 할당되거나 부모 범위에 대한 할당에서 상속됩니다.Access is either assigned specifically to this resource or inherited from an assignment to the parent scope.

역할 할당 추가Add a role assignment

RBAC에서 액세스 권한을 부여하려면 사용자, 그룹, 서비스 주체 또는 관리 ID에 역할을 할당합니다.In RBAC, to grant access, you assign a role to a user, group, service principal, or managed identity. 다음 단계를 수행하여 서로 다른 범위에서 액세스 권한을 부여합니다.Follow these steps to grant access at different scopes.

특정 범위에서 역할 할당Assign a role at a scope

  1. 관리 그룹, 구독, 리소스 그룹 또는 리소스 등, 액세스 권한을 부여하려는 범위의 액세스 제어(IAM) 를 엽니다.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to grant access.

  2. 역할 할당 탭을 클릭하여 이 범위의 모든 역할 할당을 봅니다.Click the Role assignments tab to view all the role assignments at this scope.

  3. 추가 > 역할 할당 추가를 클릭하여 역할 할당 추가 창을 엽니다.Click Add > Add role assignment to open the Add role assignment pane.

    역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    추가 메뉴

    역할 할당 추가 창

  4. 역할 드롭다운 목록에서 Virtual Machine 기여자 같은 역할을 선택합니다.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  5. 선택 목록에서 사용자, 그룹, 서비스 주체 또는 관리 ID르 선택합니다.In the Select list, select a user, group, service principal, or managed identity. 목록에 보안 주체가 보이지 않으면 선택 상자에 직접 입력하여 표시 이름, 이메일 주소 및 개체 식별자에 대한 디렉터리를 검색할 수 있습니다.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  6. 저장을 클릭하여 역할을 할당합니다.Click Save to assign the role.

    몇 분이 지나면 선택한 범위에서 보안 주체에 역할이 할당됩니다.After a few moments, the security principal is assigned the role at the selected scope.

구독 관리자로서 사용자 할당Assign a user as an administrator of a subscription

다른 사용자를 Azure 구독의 관리자로 추가하려면 해당 사용자에게 구독 범위에서 소유자 역할을 할당합니다.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. 소유자 역할은 다른 사용자에게 액세스를 위임할 수 있는 권한을 비롯한 구독의 리소스에 대한 모든 권한을 사용자에게 부여할 수 있습니다.The Owner role gives the user full access to all resources in the subscription, including the right to delegate access to others. 이러한 단계는 다른 역할 할당과 동일합니다.These steps are the same as any other role assignment.

  1. Azure Portal에서 모든 서비스, 구독을 차례로 클릭합니다.In the Azure portal, click All services and then Subscriptions.

  2. 액세스 권한을 부여하려는 구독을 클릭합니다.Click the subscription where you want to grant access.

  3. 액세스 제어(IAM) 를 클릭합니다.Click Access control (IAM).

  4. 역할 할당 탭을 클릭하여 이 구독의 모든 역할 할당을 봅니다.Click the Role assignments tab to view all the role assignments for this subscription.

  5. 추가 > 역할 할당 추가를 클릭하여 역할 할당 추가 창을 엽니다.Click Add > Add role assignment to open the Add role assignment pane.

    역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    추가 메뉴

    역할 할당 추가 창

  6. 역할 드롭다운 목록에서 소유자 역할을 선택합니다.In the Role drop-down list, select the Owner role.

  7. 선택 목록에서 사용자를 선택합니다.In the Select list, select a user. 목록에 사용자가 표시되지 않으면 선택 상자에 직접 입력하여 표시 이름 및 이메일 주소에 대한 디렉터리를 검색할 수 있습니다.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. 저장을 클릭하여 역할을 할당합니다.Click Save to assign the role.

    몇 분이 지나면 사용자에게는 구독 범위의 소유자 역할이 할당됩니다.After a few moments, the user is assigned the Owner role at the subscription scope.

역할 할당 제거Remove role assignments

RBAC에서 액세스 권한을 제거하려면 역할 할당을 제거해야 합니다.In RBAC, to remove access, you remove a role assignment. 다음 단계에 따라 액세스 권한을 제거합니다.Follow these steps to remove access.

  1. 관리 그룹, 구독, 리소스 그룹 또는 리소스 등, 액세스 권한을 제거하려는 범위의 액세스 제어(IAM) 를 엽니다.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. 역할 할당 탭을 클릭하여 이 구독의 모든 역할 할당을 봅니다.Click the Role assignments tab to view all the role assignments for this subscription.

  3. 역할 할당 목록에서, 제거할 역할 할당이 있는 보안 주체 옆에 확인란을 추가합니다.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    역할 할당 제거 메시지

  4. 제거를 클릭합니다.Click Remove.

    역할 할당 제거 메시지

  5. 표시되는 역할 할당 제거 메시지에서 를 클릭합니다.In the remove role assignment message that appears, click Yes.

    상속된 역할 할당은 제거할 수 없습니다.Inherited role assignments cannot be removed. 상속된 역할 할당을 제거하려면 역할 할당이 만들어진 범위에서 역할 할당을 제거해야 합니다.If you need to remove an inherited role assignment, you must do it at the scope where the role assignment was created. 범위 열에서 (상속됨) 옆쪽에 이 역할이 할당된 범위로 이동하는 링크가 있습니다.In the Scope column, next to (Inherited) there is a link that takes you to the scope where this role was assigned. 나열된 범위로 이동하여 역할 할당을 제거합니다.Go to the scope listed there to remove the role assignment.

    역할 할당 제거 메시지

다음 단계Next steps