Azure에서 제공하는 서비스 중에서 계정 및 권한 관리를 위해서는 Microsoft Entra ID를 사용해야한다.
다음과 같은 구조로 이해할 수 있다.
Microsoft Entra ID (구 Azure Active Directory(AAD))
- Azure 서비스 사용에 있어, ID 및 Access 제어를 관리하는 서비스이다.
- 사용자 생성 관리, 리소스에 대한 액세스 제어, 그룹 및 역할 관리 등 서비스 제공한다.
- 새 사용자를 만들 수도 있고,
외부 사용자를 게스트로 초대하여 역할 및 그룹을 제한할 수 있다.
새 사용자를 생성하여 역할 할당하는 일련의 과정을 다음과 같이 이해할 수 있다.
1. Microsoft Entra ID에서 새 사용자 생성
2. Azure 구독 / 리소스그룹에서 액세스 제어
3. 역할 할당을 통해 제한된 권한을 부여 - Microsoft Entra ID에서 새 사용자 생성
ai-admin을 새 사용자로 생성하였다.
- Azure 구독 / 리소스그룹에서 액세스 제어
- 역할 할당을 통해 제한된 권한을 부여
ai-admin에게독자권한을 부여하였다.
구독 > 액세스 제어 > 역할 할당 추가 > 역할: 독자 / 구성원: ai-admin > 검토 + 할당 순으로 진행하면 된다.
ai-admin으로 로그인하면 구독이 연결된 것을 볼 수 있다.
독자 권한이므로 리소스를 확인만 할 수 있다.
Azure 상에서 제공하는 몇몇 역할들은 다음과 같다.
독자: 모든 리소스를 볼 수 있지만 변경할 수는 없습니다.
기여자: 모든 리소스를 관리할 수 있는 모든 권한을 부여하지만 Azure RBAC에서 역할 할당,
Azure Blueprints에서 할당 관리 또는 이미지 갤러리 공유를 허용하지 않습니다.
소유자: Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
모니터링 리더: 모든 모니터링 데이터를 읽을 수 있습니다.ex) 모니터링 리더를 할당하고 싶을때?
구독 > 액세스 제어에서 할당: 해당 구독의 모든 리소스를 확인이 가능
리소스그룹 > 액세스 제어에서 할당: 해당 리소스그룹 내의 모든 리소스를 확인이 가능
ex2) 아래 그림처럼 관리자, 게스트 그룹을 생성하여 모니터링과 CRUD 역할을 구분할 수 있다.
기록이 기억을 지배한다