Azure - New-AzureRmADServicePrincipal / New-AzureRmRoleAssignment 명령어
지난 글에서,
Azure - PowerShell로 Access control(IAM)에 새로운 계정 만드는 방법
; https://www.sysnet.pe.kr/2/0/11479
계정 생성 및 권한 부여를 다음과 같은 명령어로 요약할 수 있습니다.
PS C:> Login-AzureRmAccount
PS C:> $plainText = "TestPlainText"
PS C:> $secureString = ConvertTo-SecureString $plainText -AsPlainText -Force
PS C:> $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password $secureString
PS C:> New-AzureRmRoleAssignment -ServicePrincipalName $sp.ApplicationId -RoleDefinitionName Contributor
일단 New-AzureRmADServicePrincipal은,
New-AzureRmADServicePrincipal
; https://docs.microsoft.com/en-us/powershell/module/azurerm.resources/new-azurermadserviceprincipal?view=azurermps-5.7.0
"Creates a
new azure active directory service principal."라는 설명에도 나오지만 Azure Active Directory에 사용자를 생성합니다. 그다음 New-AzureRmRoleAssignment는 Azure 리소스의 Access control에 권한을 부여하는 것입니다. 보시면, New-AzureRmRoleAssignment 명령어에 별도의 리소스 위치를 지정하지 않았으므로 해당 사용자는 구독 수준의 Access control에 Contributor role이 부여됩니다.
그런데 New-AzureRmADServicePrincipal 명령어의 결과를 확인할 수 있는 방법이 현재의 Azure Portal에서는 제공되지 않습니다. 즉, AAD에 생성된 계정은 Azure Portal의 AAD 메뉴에서는 볼 수 없고, 대신 New-AzureRmRoleAssignment로 Azure 리소스의 Access control에 "App" 타입으로 생성된 것을 확인할 수 있습니다.
그래도 분명히 해당 계정이 AAD에 생성되어 있는 것은 맞습니다. 왜냐하면 New-AzureRmRoleAssignment 명령을 실행하지 않은 상태에서 다음과 같이 다시 동일한 사용자 이름으로 New-AzureRmADServicePrincipal 명령을 내리면,
PS C:\WINDOWS\system32> $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password $secureString
New-AzureRmADServicePrincipal : Another object with the same value for property identifierUris already exists.
At line:1 char:7
+ $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [New-AzureRmADServicePrincipal], Exception
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.ActiveDirectory.NewAzureADServicePrincipalCommand
이미 등록된 유저라고 오류가 발생하기 때문입니다. 그렇다면, 문제는 해당 사용자를 어떻게 삭제하느냐입니다. "Azure Active Directory" 메뉴로 가도 목록에는 해당 사용자가 나타나지 않기 때문에 당연히 Azure Portal을 통해서는 삭제할 수 없습니다. 대신 PowerShell 명령어로 가능합니다.
이를 위해 Get-AzureRmADServicePrincipal 명령을 내려 ObjectId를 확인한 후,
PS C:\WINDOWS\system32> Get-AzureRmADServicePrincipal -SearchString "NewUser1"
ServicePrincipalNames : {http://NewUser1, 5c7c5d23-0449-4d8d-8cd8-81e75985c802}
ApplicationId : 5c7c5d23-0449-4d8d-8cd8-81e75985c802
DisplayName : NewUser1
Id : 927a257b-b08e-42c3-9d3d-e564e2b95795
Type : ServicePrincipal
Remove-AzureRmADServicePrincipal 명령으로 삭제할 수 있습니다.
PS C:\WINDOWS\system32> Remove-AzureRmADServicePrincipal -ObjectId 927a257b-b08e-42c3-9d3d-e564e2b95795
이후 다음의 명령어로 실제로 삭제되었는지 확인해 볼 수 있습니다.
Get-AzureRmADServicePrincipal -SearchString "NewUser1"
재미있는 것은, 분명히 AAD에서 삭제는 되었지만 이 상태에서 동일한 계정명으로 New-AzureRmADServicePrincipal 명령어를 실행하면 여전히 "Another object with the same value for property identifierUris already exists" 오류가 발생합니다.
이유는 간단합니다. New-AzureRmADServicePrincipal은 AAD에 사용자 계정과 함께 동일한 이름으로 Application을 생성해 두기 때문이라고 합니다.
Creation of user fails after deletion of user with same signInName
; https://stackoverflow.com/questions/39981988/creation-of-user-fails-after-deletion-of-user-with-same-signinname
그래서, Get-AzureRmADApplication 명령을 내리면 동일한 이름의 응용 프로그램 항목을 볼 수 있고 마찬가지로 출력된 ObjectId로 삭제해야 합니다.
PS C:\> Get-AzureRmADApplication
...[생략]...
DisplayName : NewUser1
ObjectId : 7cb013b8-945a-4bff-a445-79ab599c47e8
IdentifierUris : {http://NewUser1}
HomePage : http://NewUser1
Type : Application
ApplicationId : 5c7c5d23-0449-4d8d-8cd8-81e75985c802
AvailableToOtherTenants : False
AppPermissions :
ReplyUrls : {}
PS C:\> Remove-AzureRmADApplication -ObjectId 7cb013b8-945a-4bff-a445-79ab599c47e8
정리해 보면, New-AzureRmADServicePrincipal은 명령어 수행 시 다음과 같은 2가지 역할을 수행합니다.
- AAD에 사용자 계정 등록
- Application 등록
New-AzureRmADServicePrincipal/New-AzureRmRoleAssignment 명령어로 생성되는 3가지 항목 중에,
- AAD에 사용자 계정 등록
- Application 등록
- Azure 구독의 리소스에 AAD 사용자에 대한 Role
첫 번째 "AAD에 사용자 계정 등록" 확인은 Get-AzureRmADServicePrincipal 명령어로만 할 수 있습니다.
두 번째 "Application 등록"은 Azure Portal에서 "App registrations(앱 등록)"라는 메뉴를 통해 들어가야 하는데, 문제는 기본적으로 이 메뉴가 목록에 없다는 것입니다. 따라서 다음의 글에 설명한 데로,
Azure Portal에서 구독(Subscriptions) 메뉴가 보이지 않는 경우
; https://www.sysnet.pe.kr/2/0/11496
"모든 서비스"로 들어가 "보안 + ID" 범주의 "App registrations(앱 등록)" 메뉴를 선택해 둡니다. 그럼, 해당 메뉴를 통해 New-AzureRmADServicePrincipal 명령어로 생성한 Application 목록을 확인할 수 있습니다.
마지막으로 세 번째 "Azure 구독의 리소스에 AAD 사용자에 대한 Role" 역시 Azure Portal에서 해당 Azure 리소스에 들어가 "Access control" 메뉴를 통해 볼 수 있습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]