Azure의 ID 및 액세스 관리: Entra ID 역할과 Azure RBAC의 이해
Azure를 사용하다 보면 자연스럽게 AWS와 비교하게 되는 경우가 많습니다. 하지만 Azure의 구조를 설명할 때 AWS와 1:1로 대응시키기 어려운 부분이 있습니다. 이는 주로 Azure가 가진 독특한 ID 및 액세스 관리 시스템 때문입니다.
Azure의 ID 및 액세스 관리는 크게 두 부분으로 나뉩니다. 하나는 Azure Entra ID(이전의 Azure Active Directory)이고, 다른 하나는 Azure RBAC(Role-Based Access Control)입니다. 이 두 시스템은 AWS의 IAM(Identity and Access Management)이 담당하는 역할을 나누어 수행한다고 볼 수 있습니다.
Azure Entra ID는 사용자, 그룹, 애플리케이션의 ID를 관리하고, Azure AD Roles를 통해 Entra ID 자체에 대한 관리 권한을 제어합니다. 예를 들어, 사용자 계정 생성, 삭제, 암호 재설정 등의 권한을 관리합니다. 반면, Azure RBAC는 Azure 리소스에 대한 세밀한 액세스 제어를 담당합니다. 이는 AWS의 IAM 정책과 유사한 역할을 합니다. 가상 머신, 스토리지 계정, 데이터베이스 등 Azure 리소스에 대한 권한을 관리하는 데 사용됩니다.
간단히 말해, Azure Entra ID와 Azure AD Roles는 ID 관리와 디렉터리 서비스 관련 권한을 다루고, Azure RBAC는 클라우드 리소스에 대한 액세스 제어를 담당합니다. 이러한 분리된 구조는 Azure만의 특징으로, 더욱 세분화된 접근 제어와 관리를 가능하게 하지만, AWS와의 직접적인 비교를 어렵게 만드는 요인이 되기도 합니다.
1. 역할 (Role)
Azure에서 '역할(Role)'이라고 할 때, 이는 주로 Azure Entra ID(이전의 Azure Active Directory)와 관련된 권한을 지칭합니다. Azure Entra ID 역할은 ID 관리 시스템 내에서 특정 작업을 수행할 수 있는 권한 집합을 정의합니다. 이러한 역할들은 다음과 같은 작업에 대한 권한을 포함합니다.
- 사용자 계정 생성 및 삭제
- 그룹 생성 및 관리
- 다른 역할 할당
- Azure Entra ID 설정 변경
Microsoft는 다양한 기본 제공 역할을 제공하며, 이들은 각각 특정 관리 작업에 맞춰져 있습니다. 예를 들어, '전역 관리자', '사용자 관리자', '그룹 관리자' 등이 있습니다. 이러한 기본 역할들의 상세 내용은 Microsoft 공식 문서에서 확인할 수 있습니다.
Microsoft Entra 기본 제공 역할 = https://learn.microsoft.com/ko-kr/entra/identity/role-based-access-control/permissions-reference
Microsoft Entra 기본 제공 역할 - Microsoft Entra ID
Microsoft Entra 기본 제공 역할 및 권한에 대해 설명합니다.
learn.microsoft.com
2. Azure RBAC(역할 기반 액세스 제어)
Azure RBAC(역할 기반 액세스 제어)는 Azure 리소스에 대한 세밀한 액세스 관리를 제공하는 시스템입니다. 이는 Azure Portal에서 'Access Control(IAM)'으로 표시되며, 리소스의 생성, 삭제, 설정 변경 등을 제어합니다. Azure RBAC의 주요 특징은 다음과 같습니다.
- 범위 적용: RBAC는 구독 수준에서부터 리소스 그룹, 개별 리소스에 이르기까지 다양한 수준에서 적용될 수 있습니다.
- 권한 상속: 상위 수준에서 부여된 권한은 하위 수준으로 상속됩니다. 예를 들어, 구독 수준에서 권한을 가진 사용자는 해당 구독 내의 모든 리소스 그룹과 리소스에 대해서도 같은 권한을 갖게 됩니다.
- 유연한 권한 관리: 필요에 따라 매우 세부적인 권한 설정이 가능합니다. 예를 들어, 특정 가상 머신에 대해서만 '읽기' 권한을 부여하는 등의 설정이 가능합니다.
- 사전 정의된 역할: Azure는 '소유자', '기여자', '읽기 권한자' 등 다양한 사전 정의 역할을 제공하여 일반적인 시나리오에 대한 빠른 권한 설정을 지원합니다.
- 사용자 지정 역할: 조직의 특정 요구사항에 맞는 사용자 지정 역할을 생성할 수 있어, 더욱 정교한 권한 제어가 가능합니다.
이러한 RBAC 시스템을 통해 Azure는 '최소 권한' 원칙을 효과적으로 구현하며, 조직의 보안 정책을 클라우드 환경에서 철저히 적용할 수 있게 합니다.
Azure 기본 제공 역할 = https://learn.microsoft.com/ko-kr/azure/role-based-access-control/built-in-roles
Azure 기본 제공 역할 - Azure RBAC
이 문서에서는 Azure RBAC(Azure 역할 기반 액세스 제어)에 대한 Azure 기본 제공 역할에 대해 설명합니다. Actions, NotActions, DataActions 및 NotDataActions를 나열합니다.
learn.microsoft.com
