[Azure] 처음 만나는 Azure (4) - 역할기반 엑세스 제어(RBAC)

역할 기반 액세스 제어(RBAC) [알백]

Role Based Access Control, 특정 역할 수행을 위해 접근 권한을 부여하는 것을 말한다. 리소스 별 관리 역할을 사용자에 따라 할당할 수 있으며 AWS AMI의 Role, Group 기능과 유사하다.

ex) Backup Operator(역할) => 시스템 읽기 권한 부여, 데이터 읽기 미부여

---

Azure 역할 분류

• 소유자(Owner): 리소스에 대한 완전한 관리, 인사권
• 기여자(Contributor): 리소스에 대한 권한 내의 관리
• 독자(Reader): 리소스 정보만 확인

(참고) 유사 개념

강제적 접근 통제(MAC, Mandatory Access Control)

: 사용자에게도 등급, 문서에도 등급 존재  ex) 2급 기밀 인가자 = 2급 기밀문서에 접근 가능 

 

임의적 접근 통제(DAC, Discretionary Access Control)

: 파일을 생성한 사람이 Owner가 되어서 권한을 부여할 수 있게 됨

ex) 인사 문서를 생성한 인사부 과장이 인사부 직원들에게 읽기 권한(Read)을 주는 것, 리눅스와 윈도에서 차용 chmod740 인사문서. txt

 

- 구독에 대해 RBAC 적용하기

이전 포스팅에서 생성한 Steve Rogers 사용자에게 리소스에 대한 '소유자' 역할을 부여한다.

메인 > 구독  > 구독 내용 선택 > 액세스 제어(IAM) 선택

Steve Rogers의 역할확인

이제 'Steve Rogers'계정으로 접속하여 구독 내용을 확인한다.

Steve Rogers에 할당 된 구독내용을 통해 소유자역할임을 확인

- 리소스 그룹에 RBAC 사용

  현재 로그인 중인 Steve Rogers계정을 사용하여 새로운 리소스 그룹을 생성한다. Tonny Stark에게 새로운 리소스 그룹에 대해 '기여자' 역할을 할당하고, 다시 Tony로 로그인하여 해당 리소스 그룹을 확인한다.

 

1) 리소스 그룹 생성

Steve 계정으로 새로운 리소스그룹 생성

2) 리소스에 대한 액세스 제어

메인 > 구독 > 엑세스 제어(IAM) > 역할 할당 추가

Tony Stark에 대한 기여자 역할 할당 확인

3) 리소스 공급자 등록

구독 > 리소스 공급자 > 공급자 'Microsoft.Network' 선택 

 

4) 기여자로 리소스 생성

Tony Stark 계정으로 로그인하여 공용 IP주소 리소스를 생성한다.

메인 페이지 > 리소스 만들기 > 공용 IP주소 검색 > 만들기

 

기여자 역할 Tony로 생성된 리소스(공용IP) 생성확인

---

 

참고자료

처음 배우는 애저, 2021, 김도균, 한빛미디어