Azure Route Server에는 기본 리소스를 만들고 관리하기 위한 특정 역할 및 권한이 필요합니다. 이 문서에서는 Azure RBAC(역할 기반 액세스 제어) 요구 사항을 설명하고 조직에 대한 적절한 권한을 구성하는 데 도움이 됩니다.
개요
Azure Route Server는 생성 및 관리 작업 중에 여러 기본 Azure 리소스를 활용합니다. 이러한 종속성 때문에 사용자, 서비스 주체 및 관리 ID에 관련된 모든 리소스에 필요한 권한이 있는지 확인해야 합니다.
이러한 권한 요구 사항을 이해하면 다음을 수행할 수 있습니다.
- Route Server 배포에 대한 역할 할당 계획
- 액세스 관련 문제 해결
- 최소 권한 액세스 원칙 구현
- 조직의 요구에 맞는 사용자 지정 역할 만들기
Azure 기본 제공 역할
Azure는 Azure Route Server 작업에 필요한 권한을 포함하는 기본 제공 역할을 제공합니다. 이러한 Azure 기본 제공 역할을 사용자, 그룹, 서비스 주체 또는 관리 ID에 할당할 수 있습니다.
네트워크 기여자 역할
네트워크 참가자 기본 제공 역할은 Azure Route Server 리소스를 만들고 관리하기 위한 포괄적인 권한을 제공합니다. 이 역할에는 다음에 대한 모든 필수 권한이 포함됩니다.
- Route Server 인스턴스 만들기
- BGP 피어링 구성 관리
- 경로 교환 설정 구성
- 모니터링 및 문제 해결
역할 할당에 대한 자세한 내용은 Azure 역할을 할당하는 단계를 참조하세요.
사용자 지정 역할
Azure 기본 제공 역할이 조직의 특정 보안 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 역할을 사용하면 특정 작업에 필요한 최소 권한만 부여하여 최소 권한 원칙을 구현할 수 있습니다.
관리 그룹, 구독 및 리소스 그룹 범위에서 사용자, 그룹 및 서비스 주체에 사용자 지정 역할을 할당할 수 있습니다. 자세한 지침은 사용자 지정 역할을 만드는 단계를 참조하세요.
사용자 지정 역할 고려 사항
Azure Route Server에 대한 사용자 지정 역할을 만드는 경우:
- 사용자, 서비스 주체 및 관리 ID에 사용 권한 섹션에 나열된 필요한 권한이 있는지 확인합니다.
- 프로덕션 환경에 배포하기 전에 개발 환경에서 사용자 지정 역할 테스트
- Azure Route Server 기능이 발전함에 따라 사용자 지정 역할 권한을 정기적으로 검토하고 업데이트합니다.
- 조직에 대한 사용자 지정 역할 및 권한 할당 문서화
기존 사용자 지정 역할을 수정하려면 사용자 지정 역할 업데이트를 참조하세요.
사용 권한
Azure Route Server에는 기본 Azure 리소스에 대한 특정 권한이 필요합니다. 다음 리소스를 만들거나 업데이트할 때 적절한 권한이 할당되었는지 확인합니다.
리소스별 필수 권한
| 리소스 | 필수 Azure 사용 권한 |
|---|---|
| virtualHubs/ipConfigurations | Microsoft.Network/publicIPAddresses/join/action Microsoft.Network/virtualNetworks/subnets/join/action |
기타 사용 권한 고려 사항
- 공용 IP 주소: 경로 서버에 공용 IP 주소를 만들고 연결할 수 있는 권한이 필요합니다.
- 가상 네트워크 서브넷: 배포에 RouteServerSubnet 조인에 대한 액세스는 필수입니다.
Azure 네트워킹 권한에 대한 자세한 내용은 네트워킹 및 가상 네트워크 권한에 대한 Azure 권한을 참조하세요.
역할 할당 범위
사용자 지정 역할을 정의할 때 관리 그룹, 구독, 리소스 그룹 및 개별 리소스와 같은 여러 수준에서 역할 할당 범위를 지정할 수 있습니다. 액세스 권한을 부여하려면 적절한 범위에서 사용자, 그룹, 서비스 주체 또는 관리 ID에 역할을 할당합니다.
범위 계층 구조
이러한 범위는 부모-자식 관계 구조를 따르며 각 수준은 보다 구체적인 액세스 제어를 제공합니다.
- 관리 그룹: 광범위한 범위, 여러 구독에 적용
- 구독: 구독 내의 모든 리소스에 적용
- 리소스 그룹: 특정 리소스 그룹 내의 리소스에만 적용됩니다.
- 리소스: 가장 구체적인 범위, 개별 리소스에 적용
선택한 범위 수준에 따라 역할이 적용되는 범위가 결정됩니다. 예를 들어 구독 수준에서 할당된 역할은 해당 구독 내의 모든 리소스로 계단식으로 이동하지만 리소스 그룹 수준에서 할당된 역할은 해당 특정 그룹 내의 리소스에만 적용됩니다.
범위 수준에 대한 자세한 내용은 범위 수준을 참조하세요.
참고
역할 할당이 변경된 후 Azure Resource Manager 캐시를 새로 고칠 수 있는 충분한 시간을 허용합니다.
관련 Azure 서비스
다른 Azure 네트워킹 서비스에 대한 역할 및 권한 정보는 다음 문서를 참조하세요.
- Azure Application Gateway 역할 및 권한
- Azure ExpressRoute 역할 및 권한
- Azure Firewall 역할 및 권한
- Azure Virtual WAN 역할 및 권한
- 관리되는 NVA 역할 및 권한
- Azure VPN Gateway 역할 및 권한