Azure Subscriptions Azure 구독은 Azure 계정에 연결된 Azure 서비스의 논리적 단위이다. 구독별로 서비스 비용이 청구된다.
Resource Groups 모든 리소스는 특정 Resource Group의 구성원으로 들어간다.
Azure AD Roles azure에 있는 사용자를 위한 룰
Azure RBAC Roles azure의 각종 리소스를 위한 룰
Azure Policy
이는 정책을 만들고, 할당하고, 관리하는 데 사용하는 서비스이다.
Resource가 회사 표준 및 서비스 수준 계약을 지속적으로 준수하도록 Resource에 규칙을 적용하는 것이다.
Azure Policy는 Resource를 스캔하여 고객이 구현한 정책을 따르지 않은 Resource를 식별한다.
실습 01) 구독과 Azure RBAC 관리하기
1: Management Groups 구현 2: 사용자 지정 RBAC 역할 생성 3: RBAC 역할 할당
Management Groups를 하나 생성하고, Add Scription을 통해 구독을 등록시킨다.
구성
RBAC 역할을 생성하여 Azure Active Directory 사용자에게 할당하며 사용자가 RBAC 역할 정의에 지정된 작업을 수행할 수 있는지 확인해본다.
CustomRoleDefinition을 위한 json 파일
az role definition create --role-definition AZ104/Module02/az104-02a-customRoleDefinition.json
** 이 명령어를 통해 RBAC 역할을 생성한다.
새로운 사용자 생성role assignment
** 생성한 사용자에게 Support Request Contributor (Custom) 역할을 부여하였다. (역할 : create and manage Support requests)
** 생성한 사용자 계정으로 로그인한다.
사용자가 모든 리소스 그룹을 볼 수 있다.그러나 리소스는 확인할 수 없다Help+support의 new support request 창
** 여기서 사용 중인 구독이 Subscription DropDown 목록에 있으면 사용 중인 계정에 구독 관련 support request를 만드는 데 필요한 권한이 있음을 나타낸다. (RBAC 적용이 잘 되었다.)
실습 02) 'Infra' Resource만 포함하는 Resource Group(예: Cloud Shell 저장소 계정)에 태그 지정 1: Azure 포털을 통해 태그 생성 및 할당 2: Azure 정책을 통해 강제 태그 지정 3: Azure 정책을 통해 태그 지정 적용
** 이 작업에서는 Azure Portal을 통해 Azure 리소스 그룹에 태그를 만들고 할당한다.
df 명령어를 통해 Cloud Shell 홈 드라이브 마운트를 지정하는 전체 경로를 확인
** Cloud Shell 창에서 다음을 실행하여 Cloud Shell에서 사용하는 Storage Account의 이름을 식별한다. ※ df 명령어를 입력해도 다음과 같이 보이지 않는다면, Connect-AzureADcmdlet을 실행한 후, reconnect 해본다.
** Azure Portal에서 해당 Storage Account을 검색하여 선택한다.
해당 storage account 선택태그 생성
Policy에 들어가서 Require a tag and its value on resources를 Assign 한다.
** 그리고 나서 이제 새로운 Storage Account를 생성한다. 이때, 이름만 작성하고 바로 Create를 시도해본다.
아주 간단하게 이름만 설정하고 Storage Account를 만드려는데, 실패했다.
** 생성하려고 시도한 스토리지 계정에 값이 Infra로 설정된 Role이라는 태그가 없기 때문에 배포에 실패하는 것이다.
** 방금 만든 것을 삭제하고 새롭게 Assign Policy를 생성한다.
누락된 경우 Cloud Shell 리소스 그룹에서 역할 태그 및 해당 인프라 값 상속Parameters에는 Role 태그를 입력Remediation에서는 remediation task를 생성하여 만들어준 policy를 적용한다.
** 이렇게 되면 기존 리소스에 대해 정책을 평가하여 규정 비준수로 발견된 최대 500개의 리소스에 업데이트가 적용된다
cloudshell 저장소 계정을 호스팅하는 resource 그룹에서 storage account를 생성한다.
** 이번에도 아까와 똑같이 이름만 입력하고 바로 create를 시도했다. 그러자, 바로 생성이 완료되는 것을 확인했다.
