Azure 사용자와 그룹, 액세스 관리(Azure AD, 테넌트, 구독, RBAC)

0. 들어가기전

Azure AD(Azure Active Directory)

팀의 구성원이 로그인(인증)하고 권한에 따라(권한부여) 리소스를 엑세스 할 수 있게 해주는 Microsoft Azure의 ID와 엑세스 관리 서비스 입니다.

Azure 구독

리소스를 배포할 수 있는 논리적인 컨테이너이면서 리소스의 사용 비용을 지불하는 주체

 

1. Azure AD와 테넌트

테넌트(Tenant)의 사전적인 의미는 세입자나 임차인을 뜻하지만, 공간을 사용하는 사용자/그룹 등을 대표하는 용어로 볼 수 있다. Azure에서 테넌트라는 용어는 Azure AD의 사용자와 그룹 같은 보안 주제를 제공하는 디렉터리 전용 인스턴스를 뜻합니다.

 

Azure AD는 사용자와 그룹, 인증, 권한 관리를 제공하며 Azure에서 만든 리소스나 외부 애플리케이션과 서비스에 대한 액세스 제어를 제공합니다. 구독 리소스를 관리 할 때 구독과 연결된 Azure AD 테넌트를 통해 항상 인증을 처리합니다.

 

현재 Azure AD는 가지 종류의 라이선스를 제공합니다.

-> 자세한 내용은 https://docs.microsoft.com/ko-kr/azure/active-directory/fundamentals/active-directory-whatis 참고하세요

 

Azure 계정을 만들고 Azure에 로그인하면 자동으로 만들어지는 Azure AD 테넌트는 '기본디렉터리'가 됩니다.

기본 디렉터리는 제거할 수 없습니다.

별도로 도메인을 등록하지 않은 경우 기본 디레거리의 Azure AD 도메인은 일반적으로 onmicrosoft.com 이라는 하위 도메인, Azure에 가입할때 사용한 메일 별칭, 최상위 도메인으로 조합된 이름을 사용합니다

-> EX) test@outlook.com 이라는 Azure계정이라면 Azure AD도메인은 testoutlook.onmicrosoft.com 입니다

Azure AD 도메인은 기본 디렉터리를 Azure에서 고유하게 만드는 식별자입니다. 

 

그리고 또 하나 중요한 고유 식별자가 테넌트 ID 입니다.

기본 디렉터리 외에 개발이나 관리 목적으로 디렉터리, 즉 Azure AD 테넌트를 추가로 만들 수 있습니다.

Azure AD를 추가로 만들어야하는 몇가지 상황들

-> Azure AD를 사용하는 어플리케이션을 개발하고자 할 때 조직의 Azure AD테넌트에 어플리케이션을 등록 할 권한을 줄 수 없는경우

-> 개발 및 테스트 환경을 위한 Azure AD가 필요할 경우

-> 다른 Azure AD테넌트로 인증 경계를 분리하고 싶은 경우

-> 온 프레미스 AD DS(Active Directory Domain Service)의 ID를 동기화 하는 테넌트를 구분하고 싶은 경우

-> 다수의 구독을 각기 다른 테넌트와 연결해 조직의 사용자에게 독립적인 리소스 관리 및 인증 관리를 제공하고 싶은 경우

 

2. 구독

제품이나 서비스를 이용하거나 기술 지원을 받을 때 월 단위로 비용을 지불하는 방식을 [구독]이라고 부릅니다.

Azure 구독은 Azure 계정과 연결된 클라우드 서비스 리소스의 논리적인 단위이며, 비용을 청구하는 단위

구독을 통해 리소스 사용량 확인, 과금, 지불 방식을 설정할 수 있습니다.

 

Azure 구독은 엑세스 제어의 경계이면서 이를 위해 Azure 구독은 반드시 Azure AD 테넌트에 연결되어야 하며 한번에 하나의 Azure AD 테넌트와 연결됩니다. 이 테넌트에 등록된 사용자와 그룹, 외부의 사용자 에게도 구독을 액세스 하도록 관리할 수 있습니다.

 

구독과 테넌트가 연결되기 떄문에 구독부터 하위의 리소스 계층 구조에 다양한 액세스 정책을 적용할 수 있습니다.

 

3. 사용자

1. 관리자계정

처음 Azure에 가입하고 구독을 하게 되면 해당 계정의 최상위 디렉터리

2. 사용자계정

  ㄱ. 클라우드ID :  Azure AD상에만 존재하는 계정을 뜻합니다

  ㄴ. ex) 현재 Azure AD 도메은을 따르는 계정, 외부 Azure AD와 연결해 추가한 계정 등

3. 게스트사용자

  ㄱ. 사용자 계정이 Azure 외부의 다른 클라우드 공급자에서 제공된 경우

  ㄴ. 외부 기술 지원 업체나 파트너의 도움을 받거나 프로젝트의 외주 업체에 적절한 권힌을 부여할때 사용

4. 하이브리드 ID

  ㄱ. 기업내의 ID 공급자인 Window 서버 AD DS 와 Azure AD를 동기화시켜 생성한 사용자 계정

 

4. 역할 기반 액세스(RBAC: Role Based Access Control)

기업에서 클라우드를 사용할 경우 조직 구성원이 역할에 따라 클라우드의 리소스를 액세스 해야 하는 기능이 반드시 필요합니다. 이런 역할기반 액세스 제어를 간단히 RBAC라고 부릅니다. RBAC를 사용하면 사용자가 액세스할 수 있는 영역과 Azure 리소스, 이 리소스로 할 수 있는 작업을 지정할 수 있습니다.

 

이 RBAC를 사용하면 구독 전체 또는 리소스 그룹, 리소스 단위로 액세스 제어를 할 수 있습니다.

EX) DB리소스 전용 리소스 그룹을 만들고 관리역할을 할당, 한 리소스 그룹 내의 가상머신과 스토리지 등 리소스 별로 관리 역할을 각각 다른 사용자에게 할 수 있다.

 

모든 리소스 유형을 관리할 수 있는 역할은 소유자,기여자,독자 입니다.

소유자 : 할당된 사용 권한 제어 범위내에서 모든 Azure 리소스를 완전히 관리할 수 있는 권한을 가지며 다른 사용자 계정에 엑세스 권한을 할당 할 수 있습니다.

기여자 : 할당된 사용 권한 제어 범위 내에서 모든 Azure 리소스를 완전히 관리할 수 있찌만 다른 사용자 계정에 엑세스 권한 할당은 할 수 없습니다.

독자 : 할당된 사용권한 제어 범위 내에서 모든 Azure 리소스의 정보만 확인 할 수 있으며 변경할 순 없습니다.

 

사용자 엑세스만 관리할 수 있는 역할은 '사용자 엑세스 관리자' 입니다.

이 역할은 사용자가 Azure 리소스를 엑세스하는 권한만 관리 할 수 있습니다.

 

 

출처--

처음 배우는 애저(김도균 지음, 한빛미디어)

Azure docs