티스토리 뷰

Microsft Azure

RBAC(Role-based Access Control)

정홍주 2014. 9. 15. 08:00

RBAC(Role-based Access Control)

-       Azure 관리 작업에 대한 역할 기반 액세스 관리

 

RBAC(Role-based Access Control) 은 구독, 리소스 그룹 수준에서 역할(소유자, 구성원, 읽기) 지정이 가능하여 제한된 액세스를 사용자 및 그룹에 제공할 수 있습니다.

l  소유자: 모든 관리 동작 (구독 수준, 전체 리소스 수준)

l  구성원: 해당 수준에서 모든 관리 동작 수행 (Access 는 제외)

l  읽기: 해당 수준에서 읽기만, 변경 동작 안됨

 

구독 수준에서 지정하면 전체 하위 리소스까지 상속됩니다. 하위 리소스에서 상속된 역할을 제거하려고 하면 되지 않는 것을

보면 현재 시점에서는 하위 리소스에서 상속 중지는 되지 않습니다.

먼저 구독 수준에서 지정하려면 미리보기 포탈로 이동하여 아래 그림처럼 Billing을 클릭하여 줍니다.

 

그러면 상세 화면을 볼 수 있는데 상세 화면의 아래쪽의 Subscription Summary 에서 해당 구독을 클릭해줍니다.

 

 

 

그러면 상세 화면의 맨 아래쪽에 Access 영역을 확인할 수 있습니다.

 

 

 

Reader를 클릭하여 사용자 또는 그룹을 확인하거나 조직의 Active Directory 사용자나 Microsoft 계정을 초대 또는 추가할 수 있습니다.

 

 

 

특정 리소스 그룹으로 가서 살펴보면 아래 그림처럼 상속되어 Access 부분이 나타나는 것을 확인 가능합니다.

 

 

 

위에서 읽기 권한을 부여한 해당 계정으로 로그온해보면 New 메뉴는 보이지만 새로 만들기를 하면 Authorization Failed 로 오류가 발생되게 됩니다. 또한 특정 리소스 그룹으로 가서 변경하려고 하면 아래처럼 오류가 발생합니다.

 

 

 

 

이제는 특정 리소스 그룹 수준에서 사용자 또는 그룹을 아래그림처럼 추가해보겠습니다. 구독 수준에서는 추가되어 있지 않습니다.  해당 리소스 그룹에는 여러 웹 사이트가 속할 수도 있으며 가상 컴퓨터들이 속할 수 도 있습니다.

 

 

 

Browse 메뉴를 통해 Resource groups를 클릭하면 여러 그룹이 존재하지만 아래처럼 권한을 부여한 하나만 보이게 됩니다. 구성원 권한이 있다면 가상 컴퓨터나 SQL 데이터베이스를 추가하고 변경할 수 있겠지만 읽기 권한이라면 수정하면 Authorization Failed 오류가 발생되게 됩니다.

 

 

구독수준에서 지정하면 전체 리소스 수준으로 상속되며 하위 리소스 수준에서 상속 중지는 되지 않습니다. 예를 들어 구독수준에서 읽기 역할에 지정하면 전체 리소스를 조회는 가능하지만 변경은 되지 않습니다.

리소스 그룹 수준에서 지정할 수도 있으며 해당 리소스 수준에서만 동작하게도 가능합니다. 예를 들어 개발 리소스 그룹에 개발자 계정을 추가하면 개발자 리소스 그룹만 보이며 변경하게 할 수 있습니다.

간략히 RBAC을 사용해보았습니다.

 

'Microsft Azure' 카테고리의 다른 글

MVP Community Camp 2014  (0) 2014.09.22
Azure Remote App  (0) 2014.09.17
Microsoft Azure Update – 2014년 9월 12일  (0) 2014.09.12
SQL Server 2014 AlwaysOn VM Template  (0) 2014.08.25
Microsoft Azure Update -2014년 8월 22일  (0) 2014.08.22
댓글