사용자에게 특정 권한을 부여하는 사용자 지정 역할을 정의하려면 Azure RBAC를 사용할 수 있습니다. 이 문서에는 사용자 지정 역할을 빌드하기 위해 참조로 다운로드하고 사용할 수 있는 예제 목록이 포함되어 있습니다.
Azure RBAC의 사용자 지정 역할에 대한 자세한 내용은 Azure 사용자 지정 역할을 참조하세요.
또한 Azure IoT 작업은 Azure IoT Operations 리소스에 대한 액세스 관리를 간소화하고 보호하도록 설계된 기본 제공 역할을 제공합니다. 자세한 내용은 IoT 작업에 대한 기본 제공 RBAC 역할을 참조하세요.
사용자 지정 역할의 예
다음 섹션에서는 다운로드하여 참조로 사용할 수 있는 Azure IoT Operations 사용자 지정 역할의 예제를 나열합니다. 이러한 사용자 지정 역할은 역할에 대한 특정 권한 및 범위를 나열하는 JSON 파일이며, 사용자 지정 역할을 만들기 위한 시작점으로 사용해야 합니다.
비고
다음 사용자 지정 역할은 예제일 뿐입니다. 특정 요구 사항에 맞게 JSON 파일의 권한을 검토하고 수정해야 합니다.
온보딩 역할
사용자에게 Azure Arc 연결 프로세스를 완료하고 Azure IoT Operations를 안전하게 배포할 수 있는 충분한 권한을 부여하는 온보딩 역할을 정의할 수 있습니다.
| 사용자 지정 역할 | 설명 |
|---|---|
| 온보딩 | 권한 있는 역할입니다. 사용자는 Azure Arc 연결 프로세스를 완료하고 Azure IoT Operations를 안전하게 배포할 수 있습니다. |
뷰어 역할
Azure IoT Operations 인스턴스 및 해당 리소스에 대한 읽기 전용 액세스 권한을 부여하는 다양한 뷰어 역할을 정의할 수 있습니다. 이러한 역할은 변경하지 않고 인스턴스를 모니터링해야 하는 사용자에게 유용합니다.
| 사용자 지정 역할 | 설명 |
|---|---|
| 인스턴스 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스를 볼 수 있습니다. |
| 자산 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스의 자산을 볼 수 있습니다. |
| 자산 엔드포인트 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스의 자산 엔드포인트를 볼 수 있습니다. |
| 데이터 흐름 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스의 데이터 흐름을 볼 수 있습니다. |
| 데이터 흐름 대상 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스에서 데이터 흐름 대상을 볼 수 있습니다. |
| MQ 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스에서 MQTT Broker를 볼 수 있습니다. |
| 뷰어 | 이 역할을 사용하면 사용자가 Azure IoT Operations 인스턴스를 볼 수 있습니다. 이 역할은 인스턴스 뷰어, 자산 뷰어, 자산 엔드포인트 뷰어, 데이터 흐름 뷰어, 데이터 흐름대상 뷰어 및 MQ 뷰어 역할의 조합입니다. |
관리자 역할
Azure IoT Operations 인스턴스 및 해당 리소스에 대한 모든 권한을 부여하는 다양한 관리자 역할을 정의할 수 있습니다. 이러한 역할은 인스턴스 및 해당 리소스를 관리해야 하는 사용자에게 유용합니다.
| 사용자 지정 역할 | 설명 |
|---|---|
| 인스턴스 관리자 | 권한 있는 역할입니다. 사용자는 인스턴스를 배포할 수 있습니다. 역할에는 인스턴스, 브로커, 인증, 수신기, 데이터 흐름 프로필, 데이터 흐름 엔드포인트, 스키마 레지스트리 및 사용자 할당 ID를 만들고 업데이트할 수 있는 권한이 포함됩니다. 역할에는 인스턴스 삭제 권한도 포함됩니다. |
| 자산 관리자 | 사용자는 Azure IoT Operations 인스턴스에서 자산을 만들고 관리할 수 있습니다. |
| 자산 엔드포인트 관리자 | 사용자는 Azure IoT Operations 인스턴스에서 자산 엔드포인트를 만들고 관리할 수 있습니다. |
| 데이터 흐름 관리자 | 사용자는 Azure IoT Operations 인스턴스에서 데이터 흐름을 만들고 관리할 수 있습니다. |
| 데이터 흐름 대상 관리자 | 사용자는 Azure IoT Operations 인스턴스에서 데이터 흐름 대상을 만들고 관리할 수 있습니다. |
| MQ 관리자 | 사용자는 Azure IoT Operations 인스턴스에서 MQTT Broker를 만들고 관리할 수 있습니다. |
| 관리자 | 권한 있는 역할입니다. 사용자는 Azure IoT Operations 인스턴스를 만들고 관리할 수 있습니다. 이 역할은 인스턴스 관리자, 자산 관리자, 자산 엔드포인트 관리자, 데이터 흐름 관리자, 데이터 흐름대상 관리자 및 MQ 관리자 역할의 조합입니다. |
비고
자산 엔드포인트 관리자 및 데이터 흐름 대상 관리자 역할 예제에서는 작업 환경 웹 UI에서 Azure Key Vault 및 비밀 관리 페이지에 액세스할 수 있습니다. 그러나 이러한 사용자 지정 역할이 구독 수준에서 할당되더라도 사용자는 특정 리소스 그룹의 키 자격 증명 모음 목록만 볼 수 있습니다. 스키마 레지스트리에 대한 액세스도 리소스 그룹 수준으로 제한됩니다.
중요합니다
현재 작업 환경 웹 UI는 사용자가 권한이 없는 리소스에 액세스하려고 할 때 잘못된 오류 메시지를 표시합니다. 리소스에 대한 액세스가 예상대로 차단됩니다.
사용자 지정 역할 정의 만들기
샘플 사용자 지정 역할 중 하나를 준비하려면 다음을 수행합니다.
만들려는 사용자 지정 역할에 대한 JSON 파일을 다운로드합니다. JSON 파일에는 역할에 대한 권한 및 범위를 포함하여 역할 정의가 포함됩니다.
JSON 파일을 편집하여 필드의 자리 표시자 값을
assignableScopes구독 ID로 바꿉니다. 변경 내용을 저장합니다.
Azure Portal을 사용하여 Azure 구독에 사용자 지정 역할을 추가하려면 다음을 수행합니다.
Azure Portal에서 구독으로 이동합니다.
액세스 제어(IAM) 를 선택합니다.
사용자 지정 역할 추가를 >선택합니다.
온보딩과 같은 이름과 역할에 대한 설명을 입력합니다.
JSON에서 시작을 선택한 다음 다운로드한 JSON 파일을 선택합니다. 사용자 지정 역할 이름 및 설명이 파일에서 채워집니다.
필요에 따라 사용 권한 및 할당 가능한 범위를 검토합니다.
구독에 사용자 지정 역할을 추가하려면 검토 + 만들기 를 선택한 다음 만들기를 선택합니다.
사용자 지정 역할 구성 및 사용
구독에서 사용자 지정 역할을 만든 후 사용자, 그룹 또는 애플리케이션에 할당할 수 있습니다. 구독 또는 리소스 그룹 수준에서 역할을 할당할 수 있습니다. 리소스 그룹 수준에서 역할을 할당하면 가장 세분화된 컨트롤을 사용할 수 있습니다.
Azure Portal을 사용하여 리소스 그룹 수준에서 사용자에게 사용자 지정 역할을 할당하려면 다음을 수행합니다.
Azure Portal에서 리소스 그룹으로 이동합니다.
액세스 제어(IAM) 를 선택합니다.
추가 > 역할 할당 추가를 선택합니다.
할당할 사용자 지정 역할을 검색하여 선택합니다. 다음을 선택합니다.
역할을 할당할 사용자 또는 사용자를 선택합니다. 이름 또는 전자 메일 주소로 사용자를 검색할 수 있습니다.
검토 + 할당을 선택하여 역할 할당을 검토합니다. 모든 항목이 제대로 표시되면 [할당]을 선택합니다.