Azure 역할을 할당 하는 단계Steps to assign an Azure role

Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 데 사용하는 권한 부여 시스템입니다.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. 액세스 권한을 부여하려면 역할을 특정 범위의 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당합니다.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. 이 문서에서는 Azure Portal, Azure PowerShell, Azure CLI또는 REST API를 사용 하 여 Azure 역할을 할당 하는 개략적인 단계를 설명 합니다.Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure 리소스에 대한 액세스를 관리하는 데 사용하는 권한 부여 시스템입니다.Azure role-based access control (Azure RBAC) is the authorization system you use to manage access to Azure resources. 액세스 권한을 부여하려면 역할을 특정 범위의 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당합니다.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes the high-level steps to assign Azure roles using the Azure portal, Azure PowerShell, Azure CLI, or the REST API.

1 단계: 액세스 해야 하는 사용자 확인Step 1: Determine who needs access

먼저 액세스 해야 하는 사용자를 결정 해야 합니다.You first need to determine who needs access. 사용자, 그룹, 서비스 주체 또는 관리 id에 역할을 할당할 수 있습니다.You can assign a role to a user, group, service principal, or managed identity. 이를 보안 주체 라고도 합니다.This is also called a security principal.

역할 할당에 대한 보안 주체

  • 사용자 - Azure Active Directory에 프로필이 있는 개인.User - An individual who has a profile in Azure Active Directory. 다른 테넌트의 사용자에게 역할을 할당할 수도 있습니다.You can also assign roles to users in other tenants. 다른 조직의 사용자에 대한 내용은 Azure Active Directory B2B를 참조하세요.For information about users in other organizations, see Azure Active Directory B2B.
  • 그룹 - Azure Active Directory에서 만든 사용자 집합.Group - A set of users created in Azure Active Directory. 그룹에 역할을 할당하면 해당 그룹의 모든 사용자가 같은 역할을 갖습니다.When you assign a role to a group, all users within that group have that role.
  • 서비스 주체 - 애플리케이션 또는 서비스에서 특정 Azure 리소스에 액세스하기 위해 사용하는 보안 ID.Service principal - A security identity used by applications or services to access specific Azure resources. 애플리케이션의 사용자 ID(사용자 이름과 암호 또는 인증서)로 생각하시면 됩니다.You can think of it as a user identity (username and password or certificate) for an application.
  • 관리 ID - Azure에서 자동으로 관리되는 Azure Active Directory의 ID입니다.Managed identity - An identity in Azure Active Directory that is automatically managed by Azure. 일반적으로 Azure 서비스에 인증하기 위한 자격 증명을 관리하는 클라우드 애플리케이션을 개발하는 경우 ID 관리를 사용합니다.You typically use managed identities when developing cloud applications to manage the credentials for authenticating to Azure services.

2 단계: 적절 한 역할 선택Step 2: Select the appropriate role

사용 권한은 역할 정의 에 함께 그룹화 됩니다.Permissions are grouped together into a role definition. 일반적으로 단지 역할 이라고 합니다.It's typically just called a role. 여러 기본 제공 역할 목록에서 선택할 수 있습니다.You can select from a list of several built-in roles. 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들면 됩니다.If the built-in roles don't meet the specific needs of your organization, you can create your own custom roles.

역할 할당에 대한 역할 정의

다음은 네 가지 기본 제공 역할입니다.The following lists four fundamental built-in roles. 처음 세 개는 모든 리소스 종류에 적용됩니다.The first three apply to all resource types.

  • 소유자 - 액세스 권한을 다른 사용자에게 위임할 수 있는 권한을 포함하여 모든 리소스에 대한 전체 액세스 권한을 보유합니다.Owner - Has full access to all resources including the right to delegate access to others.
  • 기여자 - 모든 유형의 Azure 리소스를 만들고 관리할 수 있지만 다른 사용자에게 액세스 권한을 부여할 수 없습니다.Contributor - Can create and manage all types of Azure resources but can't grant access to others.
  • 읽기 권한자 - 기존 Azure 리소스를 볼 수 있습니다.Reader - Can view existing Azure resources.
  • 사용자 액세스 관리자 - Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.User Access Administrator - Lets you manage user access to Azure resources.

나머지 기본 제공 역할은 특정 Azure 리소스의 관리를 허용합니다.The rest of the built-in roles allow management of specific Azure resources. 예를 들어 Virtual Machine 기여자 역할을 사용하면 사용자가 가상 머신을 만들고 관리할 수 있습니다.For example, the Virtual Machine Contributor role allows a user to create and manage virtual machines.

  1. 포괄적인 내용을 다루는 Azure 기본 제공 역할 문서부터 시작합니다.Begin with the comprehensive article, Azure built-in roles. 문서 맨 위에 있는 표는 이 문서의 뒷부분에 있는 세부 정보의 인덱스입니다.The table at the top of the article is an index into the details later in the article.

  2. 이 문서에서 사용 권한을 부여 하려는 리소스에 대 한 서비스 범주 (예: 계산, 저장소, 데이터베이스)로 이동 합니다.In that article, navigate to the service category (such as compute, storage, and databases) for the resource to which you want to grant permissions. 원하는 항목을 찾는 가장 쉬운 방법은 일반적으로 페이지에서 "BLOB", "가상 머신" 등의 관련 키워드를 검색하는 것입니다.The easiest way to find what your looking for is typically to search the page for a relevant keyword, like "blob", "virtual machine", and so on.

  3. 서비스 범주에 대해 나열된 역할을 검토하고 필요한 작업을 찾습니다.Review the roles listed for the service category and identify the specific operations you need. 다시 말씀드리지만, 항상 가장 제한된 역할로 시작합니다.Again, always start with the most restrictive role.

    예를 들어 보안 주체가 Azure storage 계정에서 blob을 읽어야 하지만 쓰기 권한이 필요 하지 않은 경우 저장소 Blob 데이터 참가자 대신 저장소 blob 데이터 판독기 를 선택 합니다 (관리자 수준 저장소 blob 데이터 소유자 역할은 명확 하지 않음).For example, if a security principal needs to read blobs in an Azure storage account, but doesn't need write access, then choose Storage Blob Data Reader rather than Storage Blob Data Contributor (and definitely not the administrator-level Storage Blob Data Owner role). 나중에 필요에 따라 언제든지 역할 할당을 업데이트할 수 있습니다.You can always update the role assignments later as needed.

  4. 적절 한 역할을 찾을 수 없는 경우 사용자 지정 역할을 만들 수 있습니다.If you don't find a suitable role, you can create a custom role.

3 단계: 필요한 범위 확인Step 3: Identify the needed scope

범위 는 액세스가 적용되는 리소스의 세트입니다.Scope is the set of resources that the access applies to. Azure에서 관리 그룹, 구독, 리소스 그룹및 리소스의 네 가지 수준으로 범위를 지정할 수 있습니다.In Azure, you can specify a scope at four levels: management group, subscription, resource group, and resource. 범위는 부모-자식 관계로 구조화되어 있습니다.Scopes are structured in a parent-child relationship. 계층의 각 수준은 범위를 보다 구체적으로 만듭니다.Each level of hierarchy makes the scope more specific. 이러한 범위 수준에서 역할을 할당할 수 있습니다.You can assign roles at any of these levels of scope. 선택한 수준에 따라 역할이 적용 되는 방식이 결정 됩니다.The level you select determines how widely the role is applied. 하위 수준은 상위 수준에서 역할 권한을 상속 합니다.Lower levels inherit role permissions from higher levels.

역할 할당 범위

부모 범위에서 역할을 할당 하는 경우 해당 사용 권한은 자식 범위로 상속 됩니다.When you assign a role at a parent scope, those permissions are inherited to the child scopes. 예를 들면 다음과 같습니다.For example:

  • 관리 그룹 범위에서 사용자에 게 읽기 권한자 역할을 할당 하는 경우 해당 사용자는 관리 그룹의 모든 구독에 있는 모든 항목을 읽을 수 있습니다.If you assign the Reader role to a user at the management group scope, that user can read everything in all subscriptions in the management group.
  • 구독 범위에서 그룹에 청구 읽기 권한자 역할을 할당 하는 경우 해당 그룹의 구성원은 구독의 모든 리소스 그룹 및 리소스에 대 한 청구 데이터를 읽을 수 있습니다.If you assign the Billing Reader role to a group at the subscription scope, the members of that group can read billing data for every resource group and resource in the subscription.
  • 리소스 그룹 범위에서 애플리케이션에 기여자 역할을 할당하면 해당 애플리케이션은 해당 리소스 그룹의 모든 리소스 종류를 관리할 수 있지만, 구독의 다른 리소스 그룹을 관리할 수 없습니다.If you assign the Contributor role to an application at the resource group scope, it can manage resources of all types in that resource group, but not other resource groups in the subscription.

자세한 내용은 범위 이해를 참조 하세요.For more information, see Understand scope.

4단계.Step 4. 필수 구성 요소 확인Check your prerequisites

역할을 할당 하려면 역할 할당을 수행 하는 역할에 할당 된 사용자 (예: 소유자 또는 사용자 액세스 관리자 )가 역할을 할당 하려는 사용자로 로그인 해야 합니다.To assign roles, you must be signed in with a user that is assigned a role that has role assignments write permission, such as Owner or User Access Administrator at the scope you are trying to assign the role. 마찬가지로 역할 할당을 제거 하려면 역할 할당 삭제 권한이 있어야 합니다.Similarly, to remove a role assignment, you must have the role assignments delete permission.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

사용자 계정에 구독 내에서 역할을 할당할 수 있는 권한이 없으면 계정에 "'Microsoft.Authorization/roleAssignments/write' 작업을 수행할 수 있는 권한이 없습니다"라는 오류 메시지가 표시됩니다. 이 경우 개발자 대신 권한을 할당할 수 있는 구독 관리자에게 문의하세요.If your user account doesn't have permission to assign a role within your subscription, you see an error message that your account "does not have authorization to perform action 'Microsoft.Authorization/roleAssignments/write'." In this case, contact the administrators of your subscription as they can assign the permissions on your behalf.

5단계.Step 5. 역할 할당Assign role

보안 주체, 역할 및 범위를 알고 있으면 역할을 할당할 수 있습니다.Once you know the security principal, role, and scope, you can assign the role. Azure Portal, Azure PowerShell, Azure CLI, Azure Sdk 또는 REST Api를 사용 하 여 역할을 할당할 수 있습니다.You can assign roles using the Azure portal, Azure PowerShell, Azure CLI, Azure SDKs, or REST APIs. 각 구독에서 최대 2000 개의 역할 할당을 유지할 수 있습니다.You can have up to 2000 role assignments in each subscription. 이 제한에는 구독, 리소스 그룹 및 리소스 범위의 역할 할당이 포함됩니다.This limit includes role assignments at the subscription, resource group, and resource scopes. 각 관리 그룹에서 최대 500 개의 역할 할당을 유지할 수 있습니다.You can have up to 500 role assignments in each management group.

역할을 할당 하는 방법에 대 한 자세한 단계는 다음 문서를 확인 하세요.Check out the following articles for detailed steps for how to assign roles.

다음 단계Next steps