Azure 리소스의 액세스 제어(Access control) 별로 사용자에게 권한을 할당하는 방법
지난 글에서,
Azure의 Access control 보안과 Azure Active Directory의 계정 관리 서비스
; https://www.sysnet.pe.kr/2/0/11495
MySub 구독에 TestGrp 리소스 그룹의 vm1 가상 머신을 생성했다고 가정했습니다. 이런 상황에서 AAD(Azure Active Directory)에 등록된 특정 사용자에게 vm1 가상 머신에 대해서만 "Owner" 권한을 주고 싶다면 어떻게 해야 할까요?
일단, 사용자 추가를 할 수 있는 권한을 가진 test@testad.com 사용자가 로그인 한 후, vm1 리소스까지 가서 "액세스 제어(IAM)" 메뉴를 들어가면 됩니다.
사실, 위의 메뉴 구성이 다소 혼란스럽긴 합니다. "+ Add(추가)"이기 때문에 사용자를 추가하는 것이라 할 수 있는데, 이뿐만 아니라 기존 사용자에 대한 Role을 추가하는 것도 가능합니다.
이때, 신규/기존 사용자라는 것은 현재 AAD에 대한 등록 유무로 구분합니다.
즉, "testuser@mydomain.com" 이메일을 소유한 사용자에게 vm1에 대한 권한을 주고 싶다면 위의 화면에서 "+ Add" 버튼으로 다음과 같이 "Contributor(기여자)" 권한을 부여해 추가할 수 있습니다.
그럼 Azure는 testuser@mydomain.com 전자 메일로 초대 메일을 발송하고 자동으로 MySub 구독의 AAD에 Guest 역할의 사용자로 함께 등록해 줍니다.
기존 사용자에 대해 권한을 주는 경우에도 역시 "+ Add" 버튼을 눌러 위의 화면과 동일하게 새로운 역할(Role)을 할당하고 AAD에 등록되어 있던 계정을 추가하면 됩니다. 이런 경우에는 AAD에 이미 등록된 사용자이기 때문에 Azure 구독의 vm1 가상 머신에 대한 액세스 제어(IAM)에 대해서만 원하는 Role을 추가/부여됩니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]