J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] VT sequences to "CONOUT$" vs. STD_O...[정성태] NetCoreDbg is a managed code debugg...[정성태] Evaluating tail call elimination in...[정성태] What’s new in System.Text.Json in ....[정성태] What's new in .NET 9: Cryptography ...[정성태] 아... 제시해 주신 "https://akrzemi1.wordp...[정성태] 다시 질문을 정리할 필요가 있을 것 같습니다. 제가 본문에...[이승준] 완전히 잘못 짚었습니다. 댓글 지우고 싶네요. 검색을 해보...[정성태] 우선 답글 감사합니다. ^^ 그런데, 사실 저 예제는 (g...[이승준] 수정이 안되어서... byteArray는 BYTE* 타입입니다...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Azure - PowerShell로 Access control(IAM)에 새로운 계정 만드는 방법</h1>

기본적으로 Azure 구독을 하면 다음과 같이 "Owner - Service administrator" 권한이 부여된 계정이 하나 Access Control(IAM - Identity and Access Management)에 있습니다. 
 
<img onclick='toggle_img(this)' class='imgView' alt='add_iam_1.png' src='/SysWebRes/bbs/add_iam_1.png' /> 
 
만약 추가로 계정 생성을 하고 싶다면 위의 화면에서 상단에 있는 "+ Add" 버튼을 눌러 진행할 수 있습니다. 아래는 이에 대한 마이크로소프트의 공식 문서입니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Use Role-Based Access Control to manage access to your Azure subscription resources
; <a target='tab' href='https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-configure'>https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-configure</a>
</pre>
 
<hr style='width: 50%' /> 
 
Azure Portal의 계정 생성을 Powershell로 하는 방법을 다음의 글에서 찾을 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Azure management libraries for .NET authentication
; <a target='tab' href='https://docs.microsoft.com/en-us/dotnet/azure/dotnet-sdk-azure-authenticate?view=azure-dotnet'>https://docs.microsoft.com/en-us/dotnet/azure/dotnet-sdk-azure-authenticate?view=azure-dotnet</a>
</pre>
 
(Login-AzureRmAccount로 로그인 문맥을 생성해 준 후) 따라서 다음과 같이 명령을 내리면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
PS&gt; $sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password [...encrypted_password...]

PS&gt; New-AzureRmRoleAssignment -ServicePrincipalName $sp.ApplicationId -RoleDefinitionName Contributor

RoleAssignmentId : /subscriptions/461e7265-0395-49b1-94b3-4c891430a893/providers/Microsoft.Authorization/roleAssignm
 ents/e286d5b1-9fae-4241-a271-79f9a2c6dbcd
Scope : /subscriptions/461e7265-0395-49b1-94b3-4c891430a893
DisplayName : AzureDotNetTest
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : c6dd52e1-8942-40e3-b930-4038a3ba9686
ObjectType : ServicePrincipal
CanDelegate : False
</pre>
 
이렇게 Azure Portal에서 새로운 계정이 생성된 것을 확인할 수 있습니다. 
 
<img onclick='toggle_img(this)' class='imgView' alt='add_iam_2.png' src='/SysWebRes/bbs/add_iam_2.png' /> 
 
<hr style='width: 50%' /> 
 
참고로 New-AzureRmADServicePrincipal을 실습할 때 -Password 인자에 다음과 같은 식으로 값을 주면 SecureString 타입이 아니라며 오류가 발생합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
PS C:\Program Files\Microsoft SDKs\Azure\.NET SDK\v2.9&gt; $sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password mypassword
New-AzureRmADServicePrincipal : Cannot bind parameter 'Password'. Cannot convert the "mypassword" value of type "System.String" to type "System.Security.SecureString".
At line:1 char:78
+ ... DServicePrincipal -DisplayName "AzureDotNetTest" -Password mypassword
+ ~~~~~~~~~~
 + CategoryInfo : InvalidArgument: (:) [New-AzureRmADServicePrincipal], ParameterBindingException
 + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.Azure.Commands.ActiveDirectory.NewAzureADServicePrincipalCommand
</pre>
 
검색해 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Can not convert String to Secure String for use in New-ADUser
; <a target='tab' href='https://stackoverflow.com/questions/19188761/can-not-convert-string-to-secure-string-for-use-in-new-aduser'>https://stackoverflow.com/questions/19188761/can-not-convert-string-to-secure-string-for-use-in-new-aduser</a>
</pre>
 
다음과 같이 ConvertTo-SecureString 명령어를 이용해 변환해 주고, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
$plainText = "TestPlainText"
$secureString = ConvertTo-SecureString $plainText -AsPlainText -Force
</pre>
 
이 값을 New-AzureRmADServicePrincipal 명령어에 전달하면 됩니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
$sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password $secureString
</pre>
 
<hr style='width: 50%' /> 
 
참고로, 인증 관련 PowerShell 명령어 중에 Get-AutomationPSCredential 같은 명령어는, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Credential assets in Azure Automation
; <a target='tab' href='https://docs.microsoft.com/en-us/azure/automation/automation-credentials'>https://docs.microsoft.com/en-us/azure/automation/automation-credentials</a>
</pre>
 
기본적으로 설치되어 있지 않기 때문에 다음과 같은 오류가 발생합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
PS&gt; $myCredential = Get-AutomationPSCredential -Name 'AzureDotNetTest'
Get-AutomationPSCredential : The term 'Get-AutomationPSCredential' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:17
+ $myCredential = Get-AutomationPSCredential -Name 'AzureDotNetTest'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~
 + CategoryInfo : ObjectNotFound: (Get-AutomationPSCredential:String) [], CommandNotFoundException
 + FullyQualifiedErrorId : CommandNotFoundException
</pre>
 
설치 방법은 다음의 글에 나와 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
azureautomation/azure-automation-ise-addon 
; <a target='tab' href='https://github.com/azureautomation/azure-automation-ise-addon'>https://github.com/azureautomation/azure-automation-ise-addon</a>
</pre>
 
따라서 다음과 같이 PowerShell에서 설치해 주고, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Install-Module AzureAutomationAuthoringToolkit -Scope CurrentUser
</pre>
 
매번 PowerShell을 열어 사용할 때마다 Import-Module 명령어를 이용해 참조하거나, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Import-Module AzureAutomationAuthoringToolkit
</pre>
 
그 과정이 귀찮다면 다음의 명령으로 무조건 로드하게 만들 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Install-AzureAutomationIseAddOn
</pre>

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

7671 (왼쪽의 숫자를 입력해야 합니다.)