다음을 통해 공유


Azure 거부 할당 나열

‘거부 할당’은 역할 할당과 마찬가지로 액세스를 거부하기 위해 특정 범위에서 사용자, 그룹 또는 서비스 주체에게 거부 작업 세트를 연결합니다. 거부 할당은 역할 할당이 사용자에게 액세스 권한을 부여하더라도 특정 Azure 리소스 작업을 사용자가 수행할 수 없도록 차단합니다.

이 문서에서는 거부 할당을 나열하는 방법을 설명합니다.

Important

사용자 고유의 거부 할당을 직접 만들 수는 없습니다. 거부 할당은 Azure에서 만들고 관리합니다.

거부 할당을 만드는 방법

거부 할당은 리소스를 보호하기 위해 Azure에서 만들고 관리합니다. 사용자 고유의 거부 할당을 직접 만들 수는 없습니다. 하지만 배포 스택을 만들 때 거부 설정을 지정하여 배포 스택 리소스가 소유하는 거부 할당을 만들 수 있습니다. 배포 스택은 현재 미리 보기로 제공됩니다. 자세한 내용은 삭제로부터 관리되는 리소스 보호를 참조하세요.

역할 할당 및 거부 할당 비교

거부 할당은 역할 할당과 유사한 패턴을 따르지만 몇 가지 차이점이 있습니다.

기능 역할 할당 할당 거부
액세스 허가
액세스 거부
직접 만들 수 있음
범위에서 적용
보안 주체 제외
자식 범위에 대한 상속 방지
클래식 구독 관리자 할당에 적용

거부 할당 속성

거부 할당에 포함된 속성은 다음과 같습니다.

속성 필수 Type 설명
DenyAssignmentName 문자열 거부 할당의 표시 이름입니다. 이름은 지정된 범위에 대해 고유해야 합니다.
Description 아니요 문자열 거부 할당의 설명입니다.
Permissions.Actions Actions 또는 DataActions 하나 이상 String[] 거부 할당에서 액세스를 차단하는 컨트롤 플레인 작업을 지정하는 문자열 배열입니다.
Permissions.NotActions 아니요 String[] 거부 할당에서 제외할 컨트롤 플레인 작업을 지정하는 문자열 배열입니다.
Permissions.DataActions Actions 또는 DataActions 하나 이상 String[] 거부 할당에서 액세스를 차단하는 데이터 평면 작업을 지정하는 문자열 배열입니다.
Permissions.NotDataActions 아니요 String[] 거부 할당에서 제외할 데이터 평면 작업을 지정하는 문자열 배열입니다.
Scope 아니요 문자열 거부 할당이 적용되는 범위를 지정하는 범위입니다.
DoNotApplyToChildScopes 아니요 부울 거부 할당이 하위 범위에 적용되는지 여부를 지정합니다. 기본값은 거짓입니다.
Principals[i].Id String[] 거부 할당이 적용되는 Microsoft Entra 보안 주체 개체 ID(사용자, 그룹, 서비스 주체 또는 관리 ID)의 배열입니다. 모든 보안 주체를 나타내려면 빈 GUID 00000000-0000-0000-0000-000000000000으로 설정합니다.
Principals[i].Type 아니요 String[] Principals[i].Id로 표현되는 개체 형식의 배열입니다. 모든 보안 주체를 나타내려면 SystemDefined로 설정합니다.
ExcludePrincipals[i].Id 아니요 String[] 거부 할당이 적용되지 않는 Microsoft Entra 보안 주체 개체 ID(사용자, 그룹, 서비스 주체 또는 관리 ID)의 배열입니다.
ExcludePrincipals[i].Type 아니요 String[] ExcludePrincipals[i].Id로 표시되는 개체 유형의 배열입니다.
IsSystemProtected 아니요 부울 이 거부 할당이 Azure에서 생성되었으며 편집하거나 삭제할 수 없는지 여부를 지정합니다. 현재 모든 거부 할당은 시스템에서 보호됩니다.

모든 보안 주체

거부 할당을 지원하기 위해 모든 보안 주체라는 시스템 정의 보안 주체가 도입되었습니다. 이 주체는 Microsoft Entra의 모든 사용자, 그룹, 서비스 주체 및 관리 ID를 나타냅니다. 보안 주체 ID가 0만 포함하는 GUID 00000000-0000-0000-0000-000000000000이고 보안 주체 유형이 SystemDefined이면 보안 주체는 모든 보안 주체를 나타냅니다. Azure PowerShell 출력에서 모든 보안 주체는 다음과 같습니다.

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

모든 주체를 ExcludePrincipals와 결합하면 일부 사용자를 제외한 모든 보안 주체를 거부할 수 있습니다. 모든 보안 주체에는 다음과 같은 제약 조건이 있습니다.

  • Principals에서만 사용할 수 있으며 ExcludePrincipals에서는 사용할 수 없습니다.
  • Principals[i].TypeSystemDefined로 설정해야 합니다.

거부 할당 목록

다음 단계에 따라 거부 할당을 나열합니다.

Important

사용자 고유의 거부 할당을 직접 만들 수는 없습니다. 거부 할당은 Azure에서 만들고 관리합니다. 자세한 내용은 삭제로부터 관리되는 리소스 보호를 참조하세요.

필수 조건

거부 할당에 대한 정보를 가져오려면 다음이 있어야 합니다.

Azure Portal에서 거부 할당 나열

구독 또는 관리 그룹 범위에서 거부 할당을 보려면 다음 단계를 따릅니다.

  1. Azure Portal에서 리소스 그룹 또는 구독과 같은 선택한 범위를 엽니다.

  2. 액세스 제어(IAM) 를 선택합니다.

  3. 거부 할당 탭을 선택합니다(또는 거부 할당 보기 타일에서 보기 단추를 선택합니다).

    이 범위에 거부 할당이 있거나 이 범위에 상속된 거부 할당이 있으면 나열됩니다.

    액세스 제어(IAM) 페이지와 선택한 범위의 거부 할당을 나열하는 거부 할당 탭의 스크린샷.

  4. 추가 열을 표시하려면 열 편집을 선택합니다.

    거부 할당 목록에 열을 추가하는 방법을 보여주는 거부 할당 열 창의 스크린샷.

    설명
    이름 거부 할당의 이름입니다.
    주체 유형 사용자, 그룹, 시스템 정의 그룹 또는 서비스 주체입니다.
    거부됨 거부 할당에 포함된 보안 주체의 이름입니다.
    ID 거부 할당의 고유 식별자입니다.
    제외된 보안 주체 거부 할당에서 제외된 보안 주체가 있는지 여부입니다.
    자식에 적용되지 않음 거부 할당이 하위 범위에 상속되는지 여부입니다.
    시스템 보호됨 거부 할당이 Azure에서 관리되는지 여부입니다. 현재, 항상 예입니다.
    범위 관리 그룹, 구독, 리소스 그룹 또는 리소스입니다.
  5. 사용 가능한 항목에 확인 표시를 추가한 후 확인을 선택하여 선택한 열을 표시합니다.

거부 할당에 관한 세부 정보 나열

거부 할당에 관한 추가 세부 정보를 나열하려면 다음 단계를 따르세요.

  1. 이전 섹션에 설명한 대로 거부 할당 창을 엽니다.

  2. 거부 할당 이름을 클릭하여 사용자 페이지를 엽니다.

    적용 대상 및 제외를 나열하는 거부 할당 사용자 페이지의 스크린샷.

    사용자 페이지에는 다음 두 개의 섹션이 있습니다.

    거부 설정 설명
    거부 할당 적용 대상 거부 할당이 적용되는 보안 주체입니다.
    거부 할당 제외 대상 거부 할당에서 제외된 보안 주체입니다.

    시스템 정의 보안 주체는 Azure AD 디렉터리의 모든 사용자, 그룹, 서비스 주체 및 관리 ID를 나타냅니다.

  3. 거부된 권한 목록을 보려면 거부된 권한을 선택합니다.

    거부된 권한을 나열하는 거부 할당의 거부된 권한 페이지의 스크린샷.

    작업 유형 설명
    actions 컨트롤 플레인 작업이 거부되었습니다.
    NotActions 거부된 컨트롤 플레인 작업에서 제외된 컨트롤 플레인 작업입니다.
    DataActions 데이터 평면 작업이 거부되었습니다.
    NotDataActions 거부된 데이터 평면 작업에서 제외된 데이터 평면 작업입니다.

    이전 스크린샷에 나온 예의 경우 다음이 유효 권한입니다.

    • 컴퓨팅 작업을 제외하고 데이터 평면에 있는 모든 스토리지 작업이 거부됩니다.
  4. 거부 할당에 대한 속성을 보려면 속성을 선택합니다.

    속성을 나열하는 거부 할당 속성 페이지의 스크린샷.

    속성 페이지에서 거부 할당 이름, ID, 설명 및 범위를 볼 수 있습니다. 자식에 적용되지 않음 스위치는 거부 할당이 하위 범위에 상속되는지 여부를 나타냅니다. 시스템 보호됨 스위치는 이 거부 할당이 Azure에서 관리되는지 여부를 나타냅니다. 현재, 모든 경우에 대해 입니다.

다음 단계