Azure 서비스 그룹이란?

Azure 서비스 그룹은 기존 Azure 리소스 계층 구조와 병렬로 구독 및 리소스 그룹 간에 리소스를 구성하고 관리하는 유연한 방법을 제공합니다. 경계 간 그룹화, 최소한의 권한 및 리소스 간 데이터 집계가 필요한 시나리오에 적합합니다. 이러한 기능을 통해 팀은 운영, 조직 또는 가상 사용자 기반 요구 사항에 맞는 맞춤형 리소스 컬렉션을 만들 수 있습니다. 이 문서는 서비스 그룹의 정의, 서비스 그룹을 사용할 시나리오 및 중요한 사실에 대한 개요를 제공하는 데 도움이 됩니다.

주요 기능

• 여러 계층 구조: 서비스 그룹을 사용하면 여러 용도로 리소스를 여러 보기로 그룹화할 수 있는 시나리오를 사용할 수 있습니다.
• 유연한 멤버 자격: 서비스 그룹을 사용하면 여러 구독의 리소스를 함께 그룹화하여 통합 보기 및 관리 기능을 제공할 수 있습니다. 또한 구독, 리소스 그룹 및 리소스 그룹화도 허용합니다. 동일한 리소스를 다양한 서비스 그룹에 연결하여 다양한 고객 페르소나 및 시나리오를 만들고 사용할 수 있습니다.
• 낮은 권한 관리: 서비스 그룹은 최소한의 권한으로 작동하도록 설계되어 사용자가 과도한 액세스 권한 없이 리소스를 관리할 수 있도록 합니다.

예제 시나리오

고객은 리소스를 구성하는 방법을 지원하는 다양한 보기를 만들 수 있습니다.

• 리소스의 통합 보기

  • 여러 애플리케이션 및 환경이 있는 조직은 서비스 그룹을 사용하여 다양한 환경에서 리소스 정보의 중앙 집중식 보기를 만들 수 있습니다. 다양한 관리 그룹 또는 구독 내의 다양한 환경의 멤버 리소스 또는 리소스 컨테이너를 단일 서비스 그룹에 연결하여 리소스 세부 정보에 대한 통합 참조 지점을 제공할 수 있습니다.
  • 서비스 그룹은 구성원의 사용 권한을 상속하지 않으므로 고객은 최소 권한 원칙을 적용하여 리소스 정보를 볼 수 있는 서비스 그룹에 권한을 할당할 수 있습니다. 이 기능을 사용하면 두 사용자가 동일한 서비스 그룹에 액세스할 수 있지만 한 명만 특정 리소스를 볼 수 있는 시나리오를 사용할 수 있습니다.

• 인벤토리 만들기

  • 고객은 리소스를 서비스 그룹에 연결하여 전체 환경에서 특정 형식 또는 함수의 모든 리소스에 대한 통합 보기를 가져올 수 있습니다.

• 다양한 가상 사용자
  • 서비스 그룹을 사용하면 조직은 서로 다른 사용자 유형 및 각각의 개인 맞춤형 보기에 대해 동일한 리소스를 여러 계층으로 조정할 수 있습니다. 고객은 동일한 리소스를 사용하여 워크로드 서비스 그룹, 부서 서비스 그룹 및 모든 프로덕션 리소스가 있는 서비스 그룹의 구성원이 될 수 있습니다.

작동 방식

Azure 서비스 그룹은 리소스를 그룹화할 수 있는 병렬 테넌트 수준 계층 구조입니다. 관리 그룹, 구독 및 리소스 그룹과 분리하면 서비스 그룹을 기존 구조에 영향을 주지 않고 여러 리소스 및 리소스 컨테이너에 여러 번 연결할 수 있습니다.

서비스 그룹에 대한 정보

• 서비스 그룹은 Microsoft.Management 리소스 공급자 내에서 만들어집니다.
• 서비스 그룹은 자체 중첩을 통해 최대 10단계의 그룹화 깊이를 만들 수 있습니다. 중첩은 서비스 그룹 리소스 내의 '부모' 속성을 통해 관리할 수 있습니다.
• 서비스 그룹의 역할 할당은 자식 서비스 그룹에만 상속될 수 있습니다. 리소스 또는 리소스 컨테이너에 대한 멤버 자격을 통한 상속은 없습니다 .
• 동일한 구독 내에서 오는 서비스 그룹 구성원은 2,000명으로 제한됩니다.
• 미리 보기 창에는 단일 테넌트에 10,000개의 서비스 그룹이 제한됩니다.
• 서비스 그룹 및 서비스 그룹 구성원 ID는 최대 250자를 지원합니다. 영숫자 및 특수 문자일 수 있습니다. - _ ( ). ~
• 서비스 그룹에는 전역적으로 고유한 ID가 필요합니다. 두 개의 Microsoft Entra 테넌트에는 ID가 동일한 서비스 그룹이 있을 수 없습니다.
• 서비스 그룹에 대한 멤버 자격은 원하는 서비스 그룹을 대상으로 하는 동안 원하는 멤버(리소스, 리소스 그룹 또는 구독)의 'Microsoft.Relationship/ServiceGroupMember'에 의해 관리됩니다.

Azure Resource Manager 그룹

Azure는 고객이 다양한 규모로 리소스를 관리할 수 있는 다양한 리소스 컨테이너를 제공합니다. 서비스 그룹은 환경을 구성하는 데 사용되는 ARM(Azure Resource Manager) 컨테이너 제품군의 최신 항목입니다.

이 표에서는 그룹 간의 차이점에 대한 요약을 보여 줍니다.

시나리오 비교

*: 정책이 범위에 적용되는 경우 적용은 범위 내의 모든 멤버에 적용됩니다. 예를 들어 리소스 그룹에서는 해당 리소스에만 적용됩니다.

**: 태그는 범위 전체에 적용할 수 있으며 리소스에 개별적으로 추가됩니다. Azure Policy에는 태그를 관리하는 데 도움이 되는 기본 제공 정책이 있습니다.

: Azure 태그를 Azure Policy 내에서 조건으로 사용하여 특정 리소스에 정책을 적용할 수 있습니다. Azure 태그에는 제한 사항이 적용됩니다.

서비스 그룹에 대한 중요한 사실

• 단일 테넌트는 10,000개의 서비스 그룹을 지원할 수 있습니다.
• 서비스 그룹 트리는 최대 10개 수준의 깊이를 지원할 수 있습니다. 이 제한에는 루트 수준이 포함되지 않습니다.
• 각 서비스 그룹에는 많은 자식이 있을 수 있습니다.
• 단일 서비스 그룹 이름/ID는 최대 250자까지 가능합니다.
• 서비스 그룹의 멤버 수는 제한되지 않지만 구독 내에서 2,000개의 관계(ServiceGroupMember 포함)로 제한됩니다.

루트 서비스 그룹

관리 그룹과 마찬가지로 서비스 그룹에는 해당 테넌트에 있는 모든 서비스 그룹의 상위 부모인 하나의 루트 서비스 그룹이 있습니다. 루트 서비스 그룹의 ID는 테넌트 ID와 동일합니다.

서비스 그룹은 테넌트 내에서 받은 첫 번째 요청에 루트 서비스 그룹을 만들고 사용자는 루트 서비스 그룹을 만들거나 업데이트할 수 없습니다. "/providers/microsoft.management/servicegroups/[tenantId]"

루트에 대한 액세스는 테넌트 수준에서 "microsoft.authorization/roleassignments/write" 권한이 있는 사용자로부터 제공되어야 합니다. 예를 들어 테넌트의 전역 관리자는 테넌트에 대한 액세스 권한을 상승하여 이러한 권한을 가질 수 있습니다. 테넌트 전역 관리자 액세스 권한 상승에 대한 세부 정보

역할 기반 액세스 제어

미리 보기에서 서비스 그룹을 지원하기 위한 세 가지 기본 제공 역할 정의가 있습니다.

• 서비스 그룹 관리자: 이 기본 제공 역할은 서비스 그룹 및 관계의 모든 측면을 관리하며 서비스 그룹을 만들 때 사용자에게 제공되는 기본 역할 입니다.

• 서비스 그룹 기여자: 서비스 그룹의 수명 주기를 만들거나 관리해야 하는 경우 사용자에게 이 기본 제공 역할을 제공해야 합니다. 이 역할은 역할 할당 기능을 제외한 모든 작업을 허용합니다.

• 서비스 그룹 읽기 권한자: 이 기본 제공 역할은 서비스 그룹 정보에 대한 읽기 전용 액세스를 제공하며 연결된 관계를 보기 위해 다른 리소스에 할당할 수 있습니다.

테넌트 내에서 유효한 권한이 있는 사용자는 루트 아래에 서비스 그룹을 만들 수 있습니다. 서비스 그룹을 만드는 사용자는 '서비스 그룹 관리자'가 됩니다. 서비스 그룹을 편집하거나 자식 서비스 그룹을 만들려면 사용자에게 해당 서비스 그룹에 '서비스 그룹 기여자'가 있어야 합니다. 구성원을 추가하려면 사용자에게 서비스 그룹에 '서비스 그룹 기여자'가 있고 리소스에 대한 Microsoft.Relationship/write가 있어야 합니다.

관련 콘텐츠

• 빠른 시작: REST API를 사용하여 서비스 그룹 만들기
• 방법: 서비스 그룹 관리
• REST API를 사용하여 서비스 그룹 멤버 연결