Azure - New-AzureRmADServicePrincipal / New-AzureRmRoleAssignment 명령어

지난 글에서,

Azure - PowerShell로 Access control(IAM)에 새로운 계정 만드는 방법
; https://www.sysnet.pe.kr/2/0/11479

계정 생성 및 권한 부여를 다음과 같은 명령어로 요약할 수 있습니다.

PS C:> Login-AzureRmAccount

PS C:> $plainText = "TestPlainText"
PS C:> $secureString = ConvertTo-SecureString $plainText -AsPlainText -Force

PS C:> $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password $secureString

PS C:> New-AzureRmRoleAssignment -ServicePrincipalName $sp.ApplicationId -RoleDefinitionName Contributor

일단 New-AzureRmADServicePrincipal은,

New-AzureRmADServicePrincipal
; https://docs.microsoft.com/en-us/powershell/module/azurerm.resources/new-azurermadserviceprincipal?view=azurermps-5.7.0

"Creates a new azure active directory service principal."라는 설명에도 나오지만 Azure Active Directory에 사용자를 생성합니다. 그다음 New-AzureRmRoleAssignment는 Azure 리소스의 Access control에 권한을 부여하는 것입니다. 보시면, New-AzureRmRoleAssignment 명령어에 별도의 리소스 위치를 지정하지 않았으므로 해당 사용자는 구독 수준의 Access control에 Contributor role이 부여됩니다.

그런데 New-AzureRmADServicePrincipal 명령어의 결과를 확인할 수 있는 방법이 현재의 Azure Portal에서는 제공되지 않습니다. 즉, AAD에 생성된 계정은 Azure Portal의 AAD 메뉴에서는 볼 수 없고, 대신 New-AzureRmRoleAssignment로 Azure 리소스의 Access control에 "App" 타입으로 생성된 것을 확인할 수 있습니다.

그래도 분명히 해당 계정이 AAD에 생성되어 있는 것은 맞습니다. 왜냐하면 New-AzureRmRoleAssignment 명령을 실행하지 않은 상태에서 다음과 같이 다시 동일한 사용자 이름으로 New-AzureRmADServicePrincipal 명령을 내리면,

PS C:\WINDOWS\system32> $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password $secureString
New-AzureRmADServicePrincipal : Another object with the same value for property identifierUris already exists.
At line:1 char:7
+ $sp = New-AzureRmADServicePrincipal -DisplayName "NewUser1" -Password ...
+       ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [New-AzureRmADServicePrincipal], Exception
    + FullyQualifiedErrorId : Microsoft.Azure.Commands.ActiveDirectory.NewAzureADServicePrincipalCommand

이미 등록된 유저라고 오류가 발생하기 때문입니다. 그렇다면, 문제는 해당 사용자를 어떻게 삭제하느냐입니다. "Azure Active Directory" 메뉴로 가도 목록에는 해당 사용자가 나타나지 않기 때문에 당연히 Azure Portal을 통해서는 삭제할 수 없습니다. 대신 PowerShell 명령어로 가능합니다.

이를 위해 Get-AzureRmADServicePrincipal 명령을 내려 ObjectId를 확인한 후,

PS C:\WINDOWS\system32> Get-AzureRmADServicePrincipal -SearchString "NewUser1"

ServicePrincipalNames : {http://NewUser1, 5c7c5d23-0449-4d8d-8cd8-81e75985c802}
ApplicationId         : 5c7c5d23-0449-4d8d-8cd8-81e75985c802
DisplayName           : NewUser1
Id                    : 927a257b-b08e-42c3-9d3d-e564e2b95795
Type                  : ServicePrincipal

Remove-AzureRmADServicePrincipal 명령으로 삭제할 수 있습니다.

PS C:\WINDOWS\system32> Remove-AzureRmADServicePrincipal -ObjectId 927a257b-b08e-42c3-9d3d-e564e2b95795

이후 다음의 명령어로 실제로 삭제되었는지 확인해 볼 수 있습니다.

Get-AzureRmADServicePrincipal -SearchString "NewUser1"

재미있는 것은, 분명히 AAD에서 삭제는 되었지만 이 상태에서 동일한 계정명으로 New-AzureRmADServicePrincipal 명령어를 실행하면 여전히 "Another object with the same value for property identifierUris already exists" 오류가 발생합니다.

이유는 간단합니다. New-AzureRmADServicePrincipal은 AAD에 사용자 계정과 함께 동일한 이름으로 Application을 생성해 두기 때문이라고 합니다.

Creation of user fails after deletion of user with same signInName
; https://stackoverflow.com/questions/39981988/creation-of-user-fails-after-deletion-of-user-with-same-signinname

그래서, Get-AzureRmADApplication 명령을 내리면 동일한 이름의 응용 프로그램 항목을 볼 수 있고 마찬가지로 출력된 ObjectId로 삭제해야 합니다.

PS C:\> Get-AzureRmADApplication

...[생략]...

DisplayName             : NewUser1
ObjectId                : 7cb013b8-945a-4bff-a445-79ab599c47e8
IdentifierUris          : {http://NewUser1}
HomePage                : http://NewUser1
Type                    : Application
ApplicationId           : 5c7c5d23-0449-4d8d-8cd8-81e75985c802
AvailableToOtherTenants : False
AppPermissions          : 
ReplyUrls               : {}

PS C:\> Remove-AzureRmADApplication -ObjectId 7cb013b8-945a-4bff-a445-79ab599c47e8

정리해 보면, New-AzureRmADServicePrincipal은 명령어 수행 시 다음과 같은 2가지 역할을 수행합니다.

• AAD에 사용자 계정 등록
• Application 등록

---

New-AzureRmADServicePrincipal/New-AzureRmRoleAssignment 명령어로 생성되는 3가지 항목 중에,

1. AAD에 사용자 계정 등록
2. Application 등록
3. Azure 구독의 리소스에 AAD 사용자에 대한 Role

첫 번째 "AAD에 사용자 계정 등록" 확인은 Get-AzureRmADServicePrincipal 명령어로만 할 수 있습니다.

두 번째 "Application 등록"은 Azure Portal에서 "App registrations(앱 등록)"라는 메뉴를 통해 들어가야 하는데, 문제는 기본적으로 이 메뉴가 목록에 없다는 것입니다. 따라서 다음의 글에 설명한 데로,

Azure Portal에서 구독(Subscriptions) 메뉴가 보이지 않는 경우
; https://www.sysnet.pe.kr/2/0/11496

"모든 서비스"로 들어가 "보안 + ID" 범주의 "App registrations(앱 등록)" 메뉴를 선택해 둡니다. 그럼, 해당 메뉴를 통해 New-AzureRmADServicePrincipal 명령어로 생성한 Application 목록을 확인할 수 있습니다.

마지막으로 세 번째 "Azure 구독의 리소스에 AAD 사용자에 대한 Role" 역시 Azure Portal에서 해당 Azure 리소스에 들어가 "Access control" 메뉴를 통해 볼 수 있습니다.

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 4/17/2018]
[최종 수정일: 4/17/2018]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com