[ AZ-104 ] Azure Policy Initiatives, RBAC

 

Azure구독은 단일 Entra 디렉터리와 연결되어 있다는 점을 기억해야 합니다. 디렉터리의 사용자, 그룹 및 애플리케이션은 Azure 구독에서 리소스를 관리할 수 있습니다. 구독은 SSO 및 액세스 관리를 위해 Entra ID를 사용하며, Entra Connect를 통해 온프레미스 AD를 클라우드로 확장할 수도 있습니다. 온프레미스 AD 계정을 사용하지 않도록 설정함으로써 Entra ID와 연결된 모든 Azure 구독에 대한 액세스 권한이 자동으로 생성됩니다.

 

Azure RBAC은 Azure에서 리소스에 대한 액세스를 세밀하게 관리하는 ARM기반의 권한 부여 시스템입니다. RBAC을 사용하면 사용자가 작업을 수행하는 데 필요한 정확한 액세스 권한을 부여할 수 있습니다. (최소 권한) 역할 할당의 범위는 관리그룹, 구독, 리소스 그룹 또는 리소스 일 수 있습니다. 부모 범위에서 할당된 역할을 하위 범위에 대한 액세스를 부여하며, 역할에 따라 액세스할 수 있는 리소스가 결정됩니다.

 

액세스 권한을 부여하려면 역할 할당을 만들고, 액세스 권한을 철회하려면 해당 할당을 제거합니다. RBAC은 허용 모델이며, 역할이 할당되면 특정 작업을 수행하도록 허용하며 NoActions를 사용하여 허용되지 않는 권한 세트를 만들 수도 있습니다.