Azure - PowerShell로 Access control(IAM)에 새로운 계정 만드는 방법
기본적으로 Azure 구독을 하면 다음과 같이 "Owner - Service administrator" 권한이 부여된 계정이 하나 Access Control(IAM - Identity and Access Management)에 있습니다.
만약 추가로 계정 생성을 하고 싶다면 위의 화면에서 상단에 있는 "+ Add" 버튼을 눌러 진행할 수 있습니다. 아래는 이에 대한 마이크로소프트의 공식 문서입니다.
Use Role-Based Access Control to manage access to your Azure subscription resources
; https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-configure
Azure Portal의 계정 생성을 Powershell로 하는 방법을 다음의 글에서 찾을 수 있습니다.
Azure management libraries for .NET authentication
; https://docs.microsoft.com/en-us/dotnet/azure/dotnet-sdk-azure-authenticate?view=azure-dotnet
(Login-AzureRmAccount로 로그인 문맥을 생성해 준 후) 따라서 다음과 같이 명령을 내리면,
PS> $sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password [...encrypted_password...]
PS> New-AzureRmRoleAssignment -ServicePrincipalName $sp.ApplicationId -RoleDefinitionName Contributor
RoleAssignmentId : /subscriptions/461e7265-0395-49b1-94b3-4c891430a893/providers/Microsoft.Authorization/roleAssignm
ents/e286d5b1-9fae-4241-a271-79f9a2c6dbcd
Scope : /subscriptions/461e7265-0395-49b1-94b3-4c891430a893
DisplayName : AzureDotNetTest
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : c6dd52e1-8942-40e3-b930-4038a3ba9686
ObjectType : ServicePrincipal
CanDelegate : False
이렇게 Azure Portal에서 새로운 계정이 생성된 것을 확인할 수 있습니다.
참고로 New-AzureRmADServicePrincipal을 실습할 때 -Password 인자에 다음과 같은 식으로 값을 주면 SecureString 타입이 아니라며 오류가 발생합니다.
PS C:\Program Files\Microsoft SDKs\Azure\.NET SDK\v2.9> $sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password mypassword
New-AzureRmADServicePrincipal : Cannot bind parameter 'Password'. Cannot convert the "mypassword" value of type "System.String" to type "System.Security.SecureString".
At line:1 char:78
+ ... DServicePrincipal -DisplayName "AzureDotNetTest" -Password mypassword
+ ~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [New-AzureRmADServicePrincipal], ParameterBindingException
+ FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.Azure.Commands.ActiveDirectory.NewAzureADServicePrincipalCommand
검색해 보면,
Can not convert String to Secure String for use in New-ADUser
; https://stackoverflow.com/questions/19188761/can-not-convert-string-to-secure-string-for-use-in-new-aduser
다음과 같이 ConvertTo-SecureString 명령어를 이용해 변환해 주고,
$plainText = "TestPlainText"
$secureString = ConvertTo-SecureString $plainText -AsPlainText -Force
이 값을 New-AzureRmADServicePrincipal 명령어에 전달하면 됩니다.
$sp = New-AzureRmADServicePrincipal -DisplayName "AzureDotNetTest" -Password $secureString
참고로, 인증 관련 PowerShell 명령어 중에 Get-AutomationPSCredential 같은 명령어는,
Credential assets in Azure Automation
; https://docs.microsoft.com/en-us/azure/automation/automation-credentials
기본적으로 설치되어 있지 않기 때문에 다음과 같은 오류가 발생합니다.
PS> $myCredential = Get-AutomationPSCredential -Name 'AzureDotNetTest'
Get-AutomationPSCredential : The term 'Get-AutomationPSCredential' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:17
+ $myCredential = Get-AutomationPSCredential -Name 'AzureDotNetTest'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Get-AutomationPSCredential:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
설치 방법은 다음의 글에 나와 있습니다.
azureautomation/azure-automation-ise-addon
; https://github.com/azureautomation/azure-automation-ise-addon
따라서 다음과 같이 PowerShell에서 설치해 주고,
Install-Module AzureAutomationAuthoringToolkit -Scope CurrentUser
매번 PowerShell을 열어 사용할 때마다 Import-Module 명령어를 이용해 참조하거나,
Import-Module AzureAutomationAuthoringToolkit
그 과정이 귀찮다면 다음의 명령으로 무조건 로드하게 만들 수 있습니다.
Install-AzureAutomationIseAddOn
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]