조건이 있는 다른 사용자에게 Azure 역할 할당 관리 위임

관리자는 다른 사람에게 위임하려는 Azure 리소스에 대한 액세스 권한을 부여하라는 여러 요청을 받을 수 있습니다. 사용자에게 소유자 또는 사용자 액세스 관리자 역할을 할당할 수 있지만 높은 권한이 있는 역할입니다. 이 문서에서는 조직의 다른 사용자에게 역할 할당 관리를 위임 하는 보다 안전한 방법을 설명하지만 해당 역할 할당에 대한 제한을 추가합니다. 예를 들어 할당할 수 있는 역할이나 역할을 할당받을 수 있는 대상자를 제한할 수 있습니다.

다음 다이어그램에서는 조건이 있는 대리자가 백업 참가자 또는 백업 읽기 권한자 역할만 마케팅 또는 영업 그룹에 할당할 수 있는 방법을 보여 줍니다.

필수 조건

Azure 역할을 할당하려면 다음이 있어야 합니다.

Microsoft.Authorization/roleAssignments/write권한(예: 역할 기반 액세스 제어 관리자 또는 사용자 액세스 관리자)

1단계: 대리자가 필요로 하는 권한 확인

대리인에게 필요한 사용 권한을 확인하려면 다음 질문에 답변하세요.

대리자는 어떤 역할을 할당할 수 있나요?
대리자는 어떤 유형의 보안 주체에게 역할을 할당할 수 있나요?
대리자가 어떤 보안 주체에게 역할을 할당할 수 있나요?
대리자가 모든 역할 할당을 제거할 수 있나요?

대리자가 필요로 하는 사용 권한을 알게 되면 다음 단계를 사용하여 대리자의 역할 할당에 조건을 추가합니다. 예제 조건은 조건을 사용하여 Azure 역할 할당 관리를 위임하는 예제를 참조하세요.

2단계: 새 역할 할당 시작

Azure Portal에 로그인합니다.
단계에 따라 역할 할당 추가 페이지를 엽니다.
역할 탭에서 권한 있는 관리자 역할 탭을 선택합니다.
역할 기반 액세스 제어 관리자 역할을 선택합니다.

조건 탭이 나타납니다.

Microsoft.Authorization/roleAssignments/write와 같은 작업을 포함하는 Microsoft.Authorization/roleAssignments/delete 역할을 선택할 수 있지만 역할 기반 액세스 제어 관리자의 사용 권한은 더 적습니다.
구성원 탭에서 대리자를 찾아 선택합니다.

3단계: 조건 추가

조건을 추가할 수 있는 두 가지 방법이 있습니다. 조건 템플릿을 사용하거나 고급 조건 편집기를 사용할 수 있습니다.

템플릿
조건 편집기

사용자가 수행할 수 있는 작업아래의 조건 탭에서 선택한 보안 주체에 선택한 역할만 할당하도록 허용(권한 감소) 옵션을 선택합니다.
역할 및 보안 주체 선택을 선택합니다.

역할 할당 조건 추가 페이지가 조건 템플릿 목록과 함께 표시됩니다.

조건 템플릿 목록이 포함된 역할 할당 조건 추가 스크린샷.

조건 템플릿을 선택한 다음 구성을 선택합니다.

조건 템플릿	이 템플릿을 선택해 보십시오.
역할 제한	사용자가 선택한 역할만 할당하도록 허용
역할 및 주요자 유형 제한	사용자가 선택한 역할만 할당하도록 허용 사용자가 선택한 보안 주체 유형(사용자, 그룹 또는 서비스 주체)에만 이러한 역할을 할당하도록 허용
역할 및 보안 주체 제한	사용자가 선택한 역할만 할당하도록 허용 선택한 보안 주체에만 사용자가 이러한 역할을 할당할 수 있도록 허용합니다.
특정 역할을 제외한 모든 역할 허용	사용자가 선택한 역할을 제외한 모든 역할을 할당하도록 허용

구성 창에서 필요한 구성을 추가합니다.
저장을 선택하여 역할 할당에 조건을 추가합니다.

조건 템플릿이 시나리오에서 작동하지 않거나 더 많은 제어를 원하는 경우 조건 편집기를 사용할 수 있습니다.

조건 편집기 열기

사용자가 수행할 수 있는 작업아래의 조건 탭에서 선택한 보안 주체에 선택한 역할만 할당하도록 허용(권한 감소) 옵션을 선택합니다.
역할 및 보안 주체 선택을 선택합니다.

역할 할당 조건 추가 페이지가 조건 템플릿 목록과 함께 표시됩니다.

조건 템플릿 목록이 포함된 역할 할당 조건 추가 스크린샷.
고급 조건 편집기 열기를 선택합니다.

역할 할당 조건 추가 페이지가 나타납니다.
편집기 유형 옵션은 기본 시각적을 선택한 상태로 두십시오.

작업 추가

작업 추가 섹션에서 작업 추가를 선택합니다.

작업 선택 창이 나타납니다. 이 창은 조건의 대상이 될 역할 할당을 기반으로 필터링된 작업 목록입니다.
조건이 true인 경우 허용하려는 역할 할당 만들기 또는 업데이트 작업을 선택합니다.

팁 (조언)

역할 할당 만들기 또는 업데이트와 역할 할당 작업 삭제를 모두 선택하면 조건 식을 추가할 수 없습니다. 이러한 두 작업을 모두 대상으로 지정하려면 두 가지 조건을 추가해야 합니다. 자세한 내용은 예제: 역할 제한을 참조하세요.

표현식 구성

빌드 식 섹션에서 식 추가를 선택합니다.

대리자가 추가할 수 있는 역할 할당을 제한하는 식을 빌드하는 위치는 다음과 같습니다.
특성 원본 목록에서 요청을 선택합니다.
특성 목록에서 식의 왼쪽에 대해 다음 특성 중 하나를 선택합니다.
- 역할 정의 ID 는 대리자가 할당할 수 있는 역할을 제한하는 데 사용됩니다.
- 주체 ID는 대리자가 역할을 할당할 수 있는 특정 주체를 제한하는 데 사용됩니다.
- 보안 주체 유형 은 대리자가 역할을 할당할 수 있는 보안 주체(사용자, 그룹 또는 서비스 주체)의 유형을 제한하는 데 사용됩니다.

연산자 목록에서 연산자를 선택합니다.

작성하려는 특성 및 식에 따라 일반적으로 이러한 연산자를 선택하면 식의 오른쪽에 하나 이상의 값을 선택할 수 있습니다.

특성	일반 연산자
역할 정의 ID	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals (모든 값 중 일부: GUID 불일치)
주체 ID	ForAnyOfAnyValues:GuidEquals
주체 유형	ForAnyOfAnyValues:StringEqualsIgnoreCase

값 상자에 식의 오른쪽에 하나 이상의 값을 입력합니다.
필요에 따라 식을 추가합니다.

팁 (조언)

여러 식을 추가하여 조건부 역할 할당 관리를 위임하는 경우 일반적으로 기본 Or 연산자 대신 식 간에 And 연산자를 사용합니다.
저장을 선택하여 역할 할당에 조건을 추가합니다.

4단계: 위임할 조건이 있는 역할 할당

검토 + 할당 탭에서 역할 할당 설정을 검토합니다.
검토 + 할당을 선택하여 역할을 할당합니다.

잠시 후 대리자는 역할 할당 조건과 함께 역할 기반 액세스 제어 관리자 역할이 할당됩니다.

5단계: 대리자가 조건을 사용하여 역할을 할당합니다.

이제 대리자는 단계에 따라 역할을 할당할 수 있습니다.

대리자가 Azure Portal에서 역할을 할당하려고 하면 할당할 수 있는 역할만 표시하도록 역할 목록이 필터링됩니다.

주체에 조건이 있는 경우, 할당 가능한 주체 목록도 필터링됩니다.

대리자가 API를 사용하여 조건 밖에 있는 역할을 할당하려고 하면 오류와 함께 역할 할당이 실패합니다. 자세한 내용은 증상 - 역할을 할당할 수 없음을 참조하세요.

조건 편집

조건을 편집할 수 있는 두 가지 방법이 있습니다. 조건 템플릿을 사용하거나 조건 편집기를 사용할 수 있습니다.

Azure Portal에서 보고, 편집하거나, 삭제하려는 조건이 있는 역할 할당에 대한 액세스 제어(IAM) 페이지를 엽니다.
역할 할당 탭을 선택하고 역할 할당을 찾습니다.
조건 열에서 보기/편집을 선택합니다.

보기/편집 링크가 표시되지 않는 경우 역할 할당과 동일한 범위를 보고 있는지 확인합니다.

역할 할당 조건 추가 페이지가 나타납니다. 이 페이지는 조건이 기존 템플릿과 일치하는지 여부에 따라 다르게 표시됩니다.
조건이 기존 템플릿과 일치하는 경우 구성 을 선택하여 조건을 편집합니다.
조건이 기존 템플릿과 일치하지 않는 경우 고급 조건 편집기를 사용하여 조건을 편집합니다.

예를 들어 조건을 편집하려면 빌드 식 섹션까지 아래로 스크롤하여 특성, 연산자 또는 값을 업데이트합니다.

조건을 직접 편집하려면 코드 편집기 유형을 선택한 다음 조건에 대한 코드를 편집합니다.
완료되면 [저장 ]을 클릭하여 조건을 업데이트합니다.