Azure 로컬 배포에 필요한 권한 할당

적용 대상: Azure Local 2311.2 이상

이 문서에서는 Azure Local을 배포하기 위해 구독에 필요한 권한을 설정하는 방법을 설명합니다.

Prerequisites

Azure 로컬 머신 필수 구성 요소

• 필수 구성 요소를 완료하고 환경에 대한 배포 검사 목록을 완료합니다.
• Active Directory 환경을 준비합니다.
• 소프트웨어를 다운로드하고 각 컴퓨터에 Azure Stack HCI 운영 체제 버전 23H2를 설치 합니다.

Azure 필수 조건

• 필요한 리소스 공급자를 등록합니다. 필요한 리소스 공급자에 대해 Azure 구독이 등록되어 있는지 확인합니다. 등록하려면 구독의 소유자 또는 기여자여야 합니다. 관리자에게 등록을 요청할 수도 있습니다.

  다음 PowerShell 명령을 실행하여 등록합니다.

  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
  Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
  Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"
  

  Note

  • 리소스 공급자에 Azure 구독을 등록하는 사람이 Arc에 Azure 로컬 머신을 등록하는 사람과 다른 사람이라고 가정합니다.
  • Microsoft.Insights 리소스 공급자는 모니터링 및 로깅에 필요합니다. 이 RP가 등록되지 않은 경우 유효성 검사 중에 진단 계정 및 Key Vault 감사 로깅이 실패합니다.

• 리소스 그룹을 만듭니다. 단계에 따라 머신을 등록할 리소스 그룹을 만듭니 다. 리소스 그룹 이름 및 연결된 구독 ID를 기록해 둡니다.

• 테넌트 ID를 가져옵니다. Azure Portal을 통해 Microsoft Entra 테넌트 ID 가져오기의 단계를 따릅니다.

  1. Azure Portal에서 Microsoft Entra ID>속성으로 이동합니다.

  2. 테넌트 ID 섹션까지 아래로 스크롤하고 나중에 사용할 테넌트 ID 값을 복사합니다.

• 권한 확인 컴퓨터를 Arc 리소스로 등록할 때 리소스 그룹 소유자인지 또는 머신이 프로비전되는 리소스 그룹에 대해 다음 권한이 있는지 확인합니다.

  • Azure Connected Machine Onboarding;
  • Azure Connected Machine Resource Administrator;

  이러한 역할이 있는지 확인하려면 Azure Portal에서 다음 단계를 수행합니다.

  1. Azure 로컬 배포에 사용한 구독으로 이동합니다.

  2. 컴퓨터를 등록하려는 리소스 그룹으로 이동합니다.

  3. 왼쪽 창에서 액세스 제어(IAM)로 이동합니다.

  4. 오른쪽 창에서 역할 할당으로 이동합니다. Azure Connected Machine Onboarding 및 Azure Connected Machine Resource Administrator 역할이 할당되었는지 확인하세요.

• Azure 정책을 확인합니다. 다음을 확인하십시오:

  • Azure 정책은 확장 설치를 차단하지 않습니다.
  • Azure 정책은 리소스 그룹에서 특정 리소스 유형의 생성을 차단하지 않습니다.
  • Azure 정책은 특정 위치에서 리소스 배포를 차단하지 않습니다.

배포에 대한 Azure 권한 할당

다음 단계에 따라 Azure Portal에서 배포할 Azure 권한을 할당합니다.

1. Azure Portal에서 머신을 등록하는 데 사용되는 구독으로 이동합니다. 왼쪽 창에서 액세스 제어(IAM)를 선택합니다. 오른쪽 창에서 + 추가 를 선택하고 드롭다운 목록에서 역할 할당 추가를 선택합니다.

   

2. 탭을 살펴보고 인스턴스를 배포하는 사용자에게 다음 역할 권한을 할당합니다.

   • Azure Stack HCI 관리자
   • Reader

3. Azure Portal에서 구독에 머신을 등록하는 데 사용되는 리소스 그룹으로 이동합니다. 왼쪽 창에서 액세스 제어(IAM)를 선택합니다. 오른쪽 창에서 + 추가 를 선택하고 드롭다운 목록에서 역할 할당 추가를 선택합니다.

   

4. 탭을 살펴보고 인스턴스를 배포하는 사용자에게 다음 권한을 할당합니다.

   • Key Vault 데이터 액세스 관리자: 이 권한은 배포에 사용되는 키 자격 증명 모음에 대한 데이터 평면 권한을 관리하는 데 필요합니다.
   • Key Vault 비밀 책임자: 이 권한은 배포에 사용되는 키 자격 증명 보관소에서 비밀을 읽고 쓰는 데 필요합니다.
   • Key Vault 기여자: 배포에 사용되는 키 자격 증명 모음을 만들려면 이 권한이 필요합니다.
   • 스토리지 계정 기여자: 이 권한은 배포에 사용되는 스토리지 계정을 만드는 데 필요합니다.

5. 오른쪽 창에서 역할 할당으로 이동합니다. 배포 사용자에게 구성된 모든 역할이 있는지 확인합니다.

다음 단계

구독 권한을 설정한 후 Azure Arc에 Azure 로컬 머신을 등록할 수 있습니다.

• Azure Arc 게이트웨이를 사용하여 등록합니다.
• Azure Arc를 사용하여 등록합니다.