Azure 기타

AZ-104 핸즈온 : Microsoft Entra ID ID 관리 P2 - Azure RBAC(Azure role-based access control) 2

zerobig-k8s 2025. 5. 7. 08:04

1. Azure Role 할당

1.1 Custom Role 생성 및 할당

이번 핸즈 온에서는 Azure 클라우드 엔니지어 특히 MSP 관련 업무를 수행하는 담당자에게 매우 유용한 클라우드 최적화 도구인 Advisor와 관련한 Custom Role 할당을 예시로 진행해 보겠다.

구축 단계에서 고객의 요건을 완전하게 이해하고 소위 WAF(Well-Architected Framework)에 입각하여 솔루션 설계 및 구축을 했겠지만 실제 클라우드를 이용하게 되면서 비용, 성능, 보안, 안전성 및 운영효율성 등에 대한 최적화가 필요하고 이루어 지게 된다. Advisor가 바로 이런 기능을 제공해 준다.

Advisor란

Azure Advisor는 모범 사례를 따라 Azure 배포를 최적화하는 데 도움을 주는 디지털 클라우드 도우미입니다. 주요 기능은 다음과 같다:

  1. 비용 절감: Azure 사용량을 최적화하여 비용을 절감할 수 있는 기회를 제공.
  2. 성능 향상: 애플리케이션의 속도를 개선할 수 있는 권장 사항을 제시.
  3. 보안 강화: 보안 위협과 취약점을 탐지하고 해결책을 제안.
  4. 안정성 보장: 비즈니스에 중요한 애플리케이션의 연속성을 보장.
  5. 운영 효율성: 프로세스와 워크플로의 효율성을 높이는 권장 사항을 제공

Azure 포털에서 Advisor를 통해 개인화된 권장 사항을 확인하고, 이를 통해 Azure 리소스를 최적화할 수 있다.

Advisor에 대한 자세한 내용은 여기를 참조한다.

 

참고로 Azure Advisor 관련 역할에 대한 요약 정보는 다음과 같다.

 
 

이제 Custom Role을 생성해보자.

1) Azure 구독 Access control (IAM) 블레이드에서 + AddAdd custom role을 선택한다.

 

2) Basics 탭에서 생성할 Role의 이름, 설명을 입력하고 Baseline permissionsStart from scratch를 선택하여 처음부터 만들어 나가자.

 

3) Permissions 탭에서 Add permissions를 선택한다.

 

검색 창에 “Advisor”를 입력하여 결과 중 Microsoft Advisor를 선택한다.

 

Microsoft.Advisor/generateRecommendations 퍼미션 중 Read : Get generate recommendations status를 체크하고 Add 한다.

 

이제 생성된 Custom Role을 할당해보자.

4) Azure 구독 Access control (IAM) 블레이드에서 + AddAdd role assignment를 선택 후 “Advisor” 라고 입력 후 생성한 역할을 검색 및 선택하고 Next를 클릭한다.

 

Members 탭에서 +Select members를 선택 후 해당 역할을 할당할 사용자를 검색, 선택 후 Select를 선택하고 Next를 클릭한다.

 

Assignment type 탭에서 Assignment type으로 Active를 선택 후 Review + assign울 클릭하여 역할을 할당한다.

 

역할 할당이 잘 되었다면, Role assignments 탭에서 다음과 같은 결과를 확인할 수 있다.

 

참고로 생성한 Custom Role은 관리 용이성 및 보안 등의 사유로 그룹에 할당하는 것이 보다 모범사례 이지만 이 실습에서는 간소화를 위해 사용자에게 역할을 할당하도록 한다.

 

1.2 Custom Role 할당 결과 검증

먼저 Custom Role을 할당 받은 사용자로 로그인하여 Advisor를 확인하기에 앞서 현재 사용자를 통해 Advisor를 검색하여 확인해 보자. 참고로 현재 사용자는 Owner 역할을 할당 받은 상태이며, 그렇지 않다면, Owner 역할을 할당 받은 사용자로 로그인 한다.

포털 상단 검색창에 advisor라고 입력한 후 결과 서비스 중 Advisror를 선택한다.

다음과 같이, Cost, Security, Reliability, Operational 및 Performance 등 5개의 범주에 대한 권장사항(recommendations) 및 보안 점수(Score) 정보에 대한 개요 페이지를 전시해준다.

 

각 범주를 선택해서 들어가면 해당 범주 관련 권고사항 리스트를 전시해준다.

 

임의의 권고사항을 선택하여 이동하면 각 범주 별로 관련한 권장 조치(Recommended actions) 해결 단계(Remediation steps) 정보를 제공해준다.

# 권장 조치 예시

# 권장 조치 예시

 

Advisor에 대한 자세한 내용은 여기를 참조한다.

이제 위에서 Custom Role (Advisor-ReadScore)를 할당 받은 사용자로 로그인 하여 비교 검증한다.

해당 사용자는 보안점수에 대한 정보는 확인이 가능하지만, 권고사항 등에 대한 정보는 얻을 수 없음을 확인할 수 있다.

 

 

 

2. Azure Role vs Entra ID Role

기본적으로 Azure 역할과 Microsoft Entra ID 역할은 별개라고 하였다. Entra ID의 전역관리자Global Admin) Role을 할당 받은 두 사용자를 비교하며 검증해보도록 하겠다.

m365e54zerobig 테넌트 내 Global Admin 역할을 할당 받은 두 사용자 통해 Azure 접근 가능 여부에 대해 확인해 보도록 하겠다. 참고로 해당 테넌트에는 TDG_VSE라는 구독이 연결되어 있다.

 

위 사용자 중 zerobig.devops 사용자의 경우를 먼저 살펴보자.

 

TDG_VSE 구독의 권한 할당 현황을 살펴보면 사용자 zerobig.devops에 대하여 소유자 권한이 할당되어 있음을 확인할 수 있고, 따라서 해당 구독에 접근이 가능한 것은 당연한 결과이다.

 

이제 해당 테넌트 내 또 다른 Global Admin을 역할을 소유한 YDKim-NAVER 사용자의 경우를 살펴보자.

 

구독에 대한 접근 권한이 없을을 확인할 수 있으며, 이로서 Entra ID 역할과 Azure의 역할이 별개임을 확인할 수 있다.

Microsoft Entra IDManage > Properties 블레이드로 이동 후. Access management for Azure resources 기능을 활성화 한다.

 

이제 다시 구독의 접근 가능 여부를 확인한다. 이번에는 구독이 전시되는 것을 확인할 수 있다.

 

해당 기능 활성화 하였으므로 사용자 액세스 관리자 역할(Azure 역할)이 부여된 결과이다.

TDG_VSE 구독의 권한 할당 현황을 다시 살펴보면

 

해당 사용자에 대해 사용자 엑세스 관리자 역할이 할당되었음을 확인할 수 있다.

 

이 핸즈온을 통해 우리는 Azure Role 및 Entra ID Role에 대해 그리고 그 관계에 대해 이해할 수 있게 되었다.

다음 편에서는 Azure Policy에 대해 확인해 보도록 하겠다.