1. Azure RBAC (Role-Based Access Control)
Azure 리소스(VM, VNet, Storage, SQL, Key Vault 등)에 대한 접근 권한을 IAM(Role Assignment) 으로 관리하는 구조입니다.
Key Vault의 경우 기존 Access Policy 방식 대신 Azure RBAC 방식으로 통합 관리가 가능합니다.
- Azure 공통 IAM 역할로 관리하는 방식
- 권한 부여 위치(Scope 계층):
- Management Group
- Subscription
- Resource Group
- Resource
구성 경로:
Subscription → Access Control (IAM)
IAM → Role Assignment로 권한을 주는 구조
- 핵심 특징:
- 리소스 단위 권한 제어
- 역할 + 범위(Scope) 기반
- 계정, 그룹, Service Principal에 부여 가능
- 역할 예:
- Owner
- Contributor
- Reader
- User Access Administrator
- RBAC는 리소스 접근 통제 레이어입니다.
Azure RBAC(Azure 역할 기반 액세스 제어)란? | Microsoft Learn
Azure RBAC(Azure 역할 기반 액세스 제어)란?
Azure RBAC(Azure 역할 기반 액세스 제어) 개요를 가져옵니다. 역할 할당을 사용하여 Azure 리소스에 대한 액세스를 제어합니다.
learn.microsoft.com
2. Microsoft Entra ID 디렉터리 역할
Entra ID는 리소스가 아니라 ID·테넌트·디렉터리 설정을 관리하는 레이어입니다.
경로:
- Entra ID → 역할 및 관리자
대상:
- 사용자
- 그룹
- 애플리케이션
- 테넌트 보안 설정
대표 역할
- Global Administrator
- Privileged Role Administrator
- Application Administrator
- Security Administrator
Privileged Role Administrator
다른 사용자에게 관리자 역할을 부여·회수·관리
- Azure AD 관리자 역할 할당/제거
- Global Administrator
- Security Administrator
- Application Administrator
- Privileged Role Administrator (자기 자신 포함)
- PIM(Privileged Identity Management) 설정 및 승인
- 관리자 역할의 활성화/만료 정책 관리
Entra ID 관리자 역할은 Azure 리소스 RBAC 권한을 직접 관리하지 않습니다.
RBAC = 리소스 접근
Entra 역할 = 디렉터리/보안 설정 관리
3. Privileged Identity Management (PIM)
PIM은 역할이 아니라 권한 관리 "방식"입니다.
- 목적:
- 상시 관리자 권한 제거
- 필요 시에만 JIT(Just-In-Time) 활성화
- 최소 권한 원칙 강화
구조:
Eligible → Activate → Expire
적격, 활성화, 만료
-
- Eligible (적격)
- 평소에는 권한 없음
- 요청 가능 상태
- 사유 입력 + MFA + 승인(옵션)
- 제한 시간 동안만 활성화
- 현재 실제 권한을 보유한 상태
- 1회 활성화당 최대 시간 존재
- 만료 후 재활성화 가능
- Application Administrator 역할을
Eligible 상태로 두고
필요 시 Activate → 그룹 생성 가능
- Eligible (적격)
Eligible = ‘요청 자격이 있는 사람’
Active = ‘지금 실제로 권한을 쓰는 상태’
활성화 1회당 최대 지속 시간
→ 같은 날 재활성화 가능
RBAC
→ Azure 리소스를 만질 수 있는 권한
Entra 역할
→ Azure ID, 테넌트를 관리할 수 있는 권한
PIM
→ 그 권한을 상시로 줄지, 필요할 때만 줄지 관리하는 시스템
4. 관리 그룹 구조
애플리케이션 관리자를 활성화 → 그룹 생성 가능
Management Group (부모)
├─ Management Group (자식)
│ ├─ Subscription A
│ └─ Subscription B
└─ Subscription C
상위 범위에 RBAC 권한을 부여하면 하위 구독으로 상속됩니다.
5. App ID / Service Principal / Wiz 연동 구조
Wiz가 Azure/Entra에 연결할 때 사용하는 것은 애플리케이션( Service Principal ) 입니다.
App ID
Wiz가 Azure/Entra에 접속할 때 쓰는 ‘애플리케이션( Service Principal )의 신분증
App (Client) ID:
- 해당 애플리케이션의 고유 식별자
- “누가 호출하는지”를 증명
Enterprise Application:
- 실제 테넌트 내 생성된 Service Principal 객체
중요 구분:
리소스 읽기 (Azure RBAC)
디렉터리/로그 읽기 (Microsoft Graph)
완전히 다른 권한 체계입니다.
6. Microsoft Graph 애플리케이션 권한
Wiz 등 보안 솔루션은 Microsoft Graph Application Permission을 사용하여 디렉터리 및 보안 메타데이터를 읽습니다.
주요 권한 설명:
- Directory.Read.All
→ 사용자/그룹/앱 등 Entra 디렉터리 객체 읽기 - RoleManagement.Read.All
→ Entra 역할 및 Azure RBAC 메타데이터 읽기 - AccessReview.Read.All
→ PIM 및 Access Review 결과 읽기 - AuditLog.Read.All
→ Entra Audit 로그 / Sign-in 로그 읽기 - Policy.Read.All
→ Conditional Access 및 보안 정책 읽기
- 핵심 이해 포인트:
Azure RBAC는 ARM(Resource Manager) 레이어
Graph 권한은 Entra 디렉터리 레이어
보안 솔루션은 두 레이어 모두 권한이 필요합니다.
'Azure' 카테고리의 다른 글
| [SC-200]Microsoft 365 Defender (0) | 2026.03.09 |
|---|---|
| [SC-200]Microsoft Sentinel (0) | 2026.03.08 |
| [SC-200] DLP - Data Loss Prevention (0) | 2026.03.02 |
| [SC-200]Microsoft Purview (0) | 2026.03.02 |
| [SC-200]Microsoft Sentinel KQL (0) | 2026.03.02 |