기여자(Contributor) 역할의 의미

Azure에서 '기여자(Contributor)' 역할은 리소스 관리와 관련된 광범위한 권한을 제공하는 **역할 기반 액세스 제어(RBAC)**의 기본 제공 역할 중 하나입니다. 이 역할의 의미와 주요 특징은 다음과 같습니다:

기여자(Contributor) 역할의 의미

• 리소스 관리 권한 부여: 기여자 역할은 Azure 구독 내에서 거의 모든 리소스를 관리할 수 있는 권한을 제공합니다. 사용자는 리소스를 생성, 수정, 삭제할 수 있습니다.
• 제한 사항: 기여자 역할은 RBAC(Role-Based Access Control)에서 다른 사용자에게 역할을 할당하거나 Azure Blueprints를 관리하는 권한은 포함하지 않습니다. 즉, 액세스 제어와 관련된 작업은 수행할 수 없습니다.

기여자 역할의 주요 권한

• Actions: 모든 작업(*)을 수행할 수 있는 권한이 포함되어 있으며, 이는 Azure에서 새로 추가된 리소스 유형도 자동으로 관리할 수 있음을 의미합니다.
• NotActions: 다음 작업은 제외됩니다:
  • RBAC 역할 할당(Microsoft.Authorization/*)
  • Azure Blueprints 할당 관리(Microsoft.Blueprint/blueprintAssignments)
  • 이미지 갤러리 공유(Microsoft.Compute/galleries/share/action).

사용 사례

• 리소스 그룹 및 서비스 관리: 기여자 역할은 리소스 그룹, 가상 머신, 스토리지 계정 등 다양한 Azure 리소스를 관리하는 데 적합합니다.
• 제한된 액세스 제어 필요 시: 다른 사용자에게 역할을 할당하거나 RBAC 정책을 변경하지 않아도 되는 일반적인 리소스 관리 작업에 사용됩니다.

기여자와 다른 역할 비교

• Storage Account Contributor: 특정 스토리지 계정만 관리할 수 있는 제한된 권한을 제공하며, 기여자보다 범위가 좁습니다.
• Owner(소유자): 기여자와 동일한 리소스 관리 권한을 가지면서 추가로 RBAC 역할 할당 및 액세스 제어를 수행할 수 있습니다.

기여자 역할은 Azure 구독 내에서 광범위한 리소스를 관리해야 하지만 액세스 제어를 포함하지 않는 상황에 적합합니다.

RBAC 역할 할당 및 액세스 제어 RBAC 역할 할당 및 액세스 제어는 아래 글 참조

Azure Active Directory(AAD, Microsoft Entra ID로 통합) 역할 기반 액세스 제어(RBAC)

 

 

Azure에서 제공하는 주요 역할(Role)과 각 역할의 권한을 비교하면 다음과 같습니다. 이는 Azure RBAC(Role-Based Access Control)의 기본 제공 역할을 중심으로 설명합니다.

Azure 주요 역할 및 권한 비교

역할권한제한사항

Owner (소유자)	- 모든 Azure 리소스에 대한 완전한 액세스 - 다른 사용자에게 역할 할당 가능 - 구독 관리 및 청구 가능	- 없음
Contributor (기여자)	- 모든 Azure 리소스를 생성, 수정, 삭제 가능 - 리소스 관리 가능	- 다른 사용자에게 역할 할당 불가 - 청구 관리 불가 - Azure Blueprints 관리 불가
Reader (읽기 전용)	- 모든 Azure 리소스를 조회 가능	- 리소스 수정, 생성, 삭제 불가
User Access Administrator	- 사용자 액세스를 관리 가능 - 역할 할당 가능	- 리소스 생성, 수정, 삭제 불가

 

기여자(Contributor)와 소유자(Owner)의 차이

• Owner는 Contributor와 동일한 리소스 관리 권한을 가지며 추가로 RBAC 역할 할당, 청구 관리, 및 Azure Blueprints 관리 권한을 포함합니다.
• Contributor는 리소스 생성 및 관리는 가능하지만 액세스 제어와 청구 관련 작업은 수행할 수 없습니다.

기타 특화된 역할

Azure에는 특정 리소스를 관리하기 위한 세부적인 역할도 포함되어 있습니다:

• Storage Account Contributor: 스토리지 계정의 생성, 수정, 삭제 및 액세스 키 관리 가능.
• Virtual Machine Contributor: 가상 머신 생성 및 관리 가능.
• Key Vault Contributor: Key Vault 리소스를 관리하지만, 내부 데이터(예: 암호화 키)에는 접근할 수 없음.

사용 사례

• Owner: 조직의 관리자 또는 구독 소유자에게 적합.
• Contributor: 개발자나 운영팀이 리소스를 직접 생성하고 관리해야 할 때 적합.
• Reader: 보안 감사 또는 모니터링 담당자에게 적합.
• User Access Administrator: 액세스 제어를 담당하는 IT 관리자에게 적합.

이 표와 비교 자료를 통해 각 역할의 권한과 제한사항을 명확히 이해하고 조직 내 적절한 역할을 할당할 수 있습니다.

 

 

 

Azure Portal을 사용하여 Azure 역할 할당

 

 

Azure 역할 기반 액세스 제어(Azure RBAC) 는 Azure 리소스에 대한 액세스를 관리하는 데 사용하는 권한 부여 시스템입니다. 액세스를 부여하려면 특정 범위에서 사용자, 그룹, 서비스 주체 또는 관리 ID에 역할을 할당합니다. 이 문서에서는 Azure Portal을 사용하여 역할을 할당하는 방법을 설명합니다.

Microsoft Entra ID에서 관리자 역할을 지정해야 하는 경우 사용자에게 Microsoft Entra 역할 지정을 참조하세요 .

필수 조건

Azure 역할을 할당하려면 다음이 필요합니다.

• Microsoft.Authorization/roleAssignments/write역할 기반 액세스 제어 관리자 또는 사용자 액세스 관리자 와 같은 권한

1단계: 필요한 범위 식별

역할을 할당할 때 범위를 지정해야 합니다. 범위는 액세스가 적용되는 리소스 집합입니다. Azure에서는 광범위한 것부터 좁은 것까지 네 가지 수준, 즉 관리 그룹 , 구독, 리소스 그룹 및 리소스로 범위를 지정할 수 있습니다. 자세한 내용은 범위 이해를 참조하세요 .

1. Azure Portal 에 로그인합니다 .
2. 상단의 검색 상자에서 액세스 권한을 부여하려는 범위를 검색합니다. 예를 들어, Management groups , Subscriptions , Resource groups 또는 특정 리소스를 검색합니다.
3. 해당 범위에 해당하는 특정 리소스를 클릭하세요.
4. 다음은 리소스 그룹의 예를 보여줍니다.

2단계: 역할 할당 추가 페이지 열기

액세스 제어(IAM) 는 일반적으로 Azure 리소스에 대한 액세스 권한을 부여하는 역할을 할당하는 데 사용하는 페이지입니다. ID 및 액세스 관리(IAM)라고도 하며 Azure Portal의 여러 위치에 나타납니다.

1. 액세스 제어(IAM)를 클릭합니다 .
2. 다음은 리소스 그룹의 액세스 제어(IAM) 페이지의 예를 보여줍니다.
3. 이 범위에서의 역할 할당을 보려면 역할 할당 탭을 클릭하세요 .
4. 추가 > 역할 할당 추가를 클릭합니다 .
5. 역할 할당 추가 페이지가 열립니다.
6. 역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다.

3단계: 적절한 역할 선택

역할을 선택하려면 다음 단계를 따르세요.

1. 역할 탭 에서 사용할 역할을 선택합니다.
2. 이름이나 설명으로 역할을 검색할 수 있습니다. 또한 유형 및 카테고리로 역할을 필터링할 수도 있습니다.
3. 권한이 있는 관리자 역할을 할당하려면 권한이 있는 관리자 역할 탭을 선택하여 역할을 선택하세요.
4. 권한이 있는 관리자 역할 할당을 사용할 때의 모범 사례는 Azure RBAC에 대한 모범 사례를 참조하세요 .
5. 세부 정보 열 에서 보기를 클릭하면 역할에 대한 자세한 내용을 볼 수 있습니다.
6. 
7. 다음을 클릭하세요 .

4단계: 액세스 권한이 필요한 사람 선택

액세스 권한이 필요한 사람을 선택하려면 다음 단계를 따르세요.

1. 구성원 탭 에서 사용자, 그룹 또는 서비스 주체를 선택하여 선택한 역할을 하나 이상의 Microsoft Entra 사용자, 그룹 또는 서비스 주체(응용 프로그램)에 할당합니다.
2. 
3. 회원 선택을 클릭합니다 .
4. 사용자, 그룹 또는 서비스 주체를 찾아 선택합니다.
5. 선택 상자 에 입력하여 디렉토리에서 표시 이름이나 이메일 주소를 검색할 수 있습니다.
6. 선택을 클릭하여 사용자, 그룹 또는 서비스 주체를 구성원 목록에 추가합니다.
7. 선택한 역할을 하나 이상의 관리 ID에 할당하려면 관리 ID를 선택합니다 .
8. 회원 선택을 클릭합니다 .
9. 관리되는 ID 선택 창 에서 유형이 사용자가 할당한 관리 ID인지 , 시스템이 할당한 관리 ID인지 선택합니다 .
10. 관리되는 ID를 찾아 선택하세요.
11. 시스템이 할당한 관리 ID의 경우 Azure 서비스 인스턴스별로 관리 ID를 선택할 수 있습니다.
12. 선택을 클릭하여 관리되는 ID를 구성원 목록에 추가합니다.
13. 설명 상자 에 이 역할 할당에 대한 선택적 설명을 입력합니다.
14. 나중에 역할 할당 목록에 이 설명을 표시할 수 있습니다.
15. 다음을 클릭하세요 .

5단계: (선택 사항) 조건 추가

조건을 지원하는 역할을 선택한 경우 조건 탭이 나타나고 역할 할당에 조건을 추가할 수 있는 옵션이 제공됩니다. 조건은 역할 할당에 선택적으로 추가하여 보다 세분화된 액세스 제어를 제공할 수 있는 추가 검사입니다.

조건 탭 은 선택한 역할에 따라 다르게 보입니다.

위임 조건

다음 권한 있는 역할 중 하나를 선택한 경우 이 섹션의 단계를 따르세요.

• 소유자
• 역할 기반 액세스 제어 관리자
• 사용자 액세스 관리자

1. '조건' 탭의 ' 사용자가 할 수 있는 일 ' 에서 '사용자가 선택한 주체에게만 선택한 역할을 할당하도록 허용(권한 감소)' 옵션을 선택합니다 .
2.  

   

3. 역할 및 주체 선택을 클릭하여 이 사용자가 역할을 할당할 수 있는 역할과 주체를 제한하는 조건을 추가합니다.
4. 조건을 사용하여 Azure 역할 할당 관리를 다른 사람에게 위임하는 단계를 따르세요 .

보관상태

다음 저장소 역할 중 하나를 선택한 경우 이 섹션의 단계를 따르세요.

• 저장소 Blob 데이터 기여자
• 저장소 Blob 데이터 소유자
• 스토리지 Blob 데이터 리더
• 저장소 대기열 데이터 기여자
• 저장소 큐 데이터 메시지 프로세서
• 저장소 대기열 데이터 메시지 발신자
• 스토리지 큐 데이터 리더

1. 저장소 속성에 따라 역할 할당을 더욱 세분화하려면 조건 추가를 클릭합니다 .
2. 
3. Azure 역할 할당 조건 추가 또는 편집 의 단계를 따르세요 .

6단계: 과제 유형 선택

Microsoft Entra ID P2 또는 Microsoft Entra ID Governance 라이선스가 있는 경우 관리 그룹, 구독 및 리소스 그룹 범위에 대한 할당 유형 탭이 나타납니다. 적격 할당을 사용하여 역할에 대한 적시 액세스를 제공합니다. 적격 및/또는 시간 제한 할당이 있는 사용자는 유효한 라이선스가 있어야 합니다.

PIM 기능을 사용하지 않으려면 Active assignment type 및 Permanent assignment duration 옵션을 선택합니다. 이러한 설정은 주체가 항상 역할에 대한 권한을 갖는 역할 할당을 만듭니다.

이 기능은 단계적으로 배포되므로 테넌트에서 아직 사용할 수 없거나 인터페이스가 다르게 보일 수 있습니다. 자세한 내용은 Azure RBAC에서 적격 및 시간 제한 역할 할당을 참조하세요 .

1. 과제 유형 탭 에서 과제 유형을 선택하세요 .
   • 적격 - 사용자는 역할을 사용하기 위해 다중 요소 인증 확인 수행, 비즈니스 정당성 제공 또는 지정된 승인자의 승인 요청과 같은 하나 이상의 작업을 수행해야 합니다. 활성화 단계를 수행할 수 없기 때문에 애플리케이션, 서비스 주체 또는 관리 ID에 대한 적격 역할 할당을 만들 수 없습니다.
   • 활성 - 사용자는 역할을 사용하기 위해 아무 작업도 수행할 필요가 없습니다.

   

2. 설정에 따라 할당 기간 에 대해 영구 또는 기간 제한을 선택합니다 .
3. 멤버가 항상 역할을 활성화하거나 사용할 수 있도록 하려면 영구를 선택하세요. 시작 및 종료 날짜를 지정하려면 시간 제한을 선택하세요. PIM 정책에서 영구 할당 생성이 허용되지 않으면 이 옵션이 비활성화될 수 있습니다.
4. 시간 제한을 선택한 경우 시작 날짜 및 시간 과 시작 날짜 및 시간을 설정하여 사용자가 역할을 활성화하거나 사용할 수 있는 시기를 지정합니다.
5. 시작일을 미래로 설정할 수 있습니다. 허용되는 최대 적격 기간은 귀하의 Privileged Identity Management(PIM) 정책에 따라 달라집니다.
6. (선택 사항) PIM 정책 구성을 사용하여 만료 옵션, 역할 활성화 요구 사항(승인, 다중 요소 인증 또는 조건부 액세스 인증 컨텍스트) 및 기타 설정을 구성합니다.
7. PIM 정책 업데이트 링크를 선택하면 PIM 페이지가 표시됩니다. 역할에 대한 PIM 정책을 구성하려면 설정을 선택합니다 . 자세한 내용은 Privileged Identity Management에서 Azure 리소스 역할 설정 구성을 참조하세요 .
8. 다음을 클릭하세요 .

7단계: 역할 할당

다음 단계를 따르세요.

1. 검토 + 할당 탭 에서 역할 할당 설정을 검토합니다.
2. 
3. 검토 + 할당을 클릭하여 역할을 할당합니다.
4. 잠시 후, 보안 주체에게 선택한 범위의 역할이 할당됩니다.
5. 역할 할당에 대한 설명이 보이지 않으면 열 편집을 클릭하여 설명 열을 추가합니다 .

과제 편집

Microsoft Entra ID P2 또는 Microsoft Entra ID Governance 라이선스가 있는 경우 역할 할당 유형 설정을 편집할 수 있습니다. 자세한 내용은 Azure RBAC에서 적격 및 시간 제한 역할 할당을 참조하세요 .

1. 액세스 제어(IAM) 페이지 에서 역할 할당 탭을 클릭하여 이 범위에서의 역할 할당을 확인합니다.
2. 편집하려는 역할 할당을 찾으세요.
3. 상태 열 에서 적격 기간 제한 또는 활성 영구 등의 링크를 클릭합니다 .

   

4. 역할 할당 유형 설정을 업데이트할 수 있는 Edit assignment 창이 나타납니다. 창이 열리는 데 몇 분 정도 걸릴 수 있습니다.
5. 완료되면 저장을 클릭하세요 .
6. 귀하의 업데이트가 처리되어 포털에 반영되기까지 시간이 걸릴 수 있습니다.