Azure 기본 개념 - 리소스, 리소스 그룹, 구독, 관리 그룹

Azure 서비스 사용 시 액세스 제어, 리소스 관리 등을 위해 알고 있어야 하는 기본 개념은 아래와 같다.

Azure는 위 4가지 수준의 범위로 구분되며, 하위 수준은 상위 수준에서의 설정을 상속받는다.

 

1. 리소스 (Resource)

- 리소스란, Azure에서 관리하는 엔터티(Entity)로 가상 머신(VM), 가상 네트워크, 스토리지 계정 등이 리소스에 해당한다.

- 리소스 단위에서의 액세스 제어(IAM)가 가능하며, 상위 "구독", "리소스 그룹" 단위에서의 액세스 제어(IAM)를 상속받는다.

리소스 다이어그램

Azure Portal - 모든 서비스

 

2. 리소스 그룹 (Resource Group)

- 각 리소스는 하나의 리소스 그룹에 속해야 하며, 리소스 그룹은 여러 리소스를 그룹화하여 수명주기, 보안 설정, 액세스 제어 등 관리할 수 있는 논리적 단위이다.

리소스 그룹 다이어그램

1) 특징

• 특정 리소스 그룹에서 다른 그룹으로의 리소스 이동이 가능하다.
• 리소스 그룹과 하위 리소스는 다른 지역에 위치할 수 있다.
• 리소스 그룹 내 모든 리소스는 동일한 수명주기를 공유해야 한다. 배포, 업데이트 삭제를 함께하며, 다양한 배포 주기가 존재하는 경우 다른 리소스 그룹에 존재해야 한다.
• 리소스 그룹 삭제 시 하위에 포함된 모든 리소스가 삭제된다.
• 리소스 그룹에서의 설정한 리소스 잠금, 액세스 제어(IAM) 등 모든 설정은 하위 리소스에 상속된다.

 

3. 구독 (Subscription)

- Azure 구독은 리소스 그룹과 하위 리소스를 그룹화하는 단위로, 구독 단위로 리소스 요금을 관리한다.

- 구독은 Azure Resource Manager에 사용되는 컨트롤과 연결되어 있다.

- 구독에 대한 액세스 권한 할당은 RBAC(Role-Based Access Controls)을 기반으로 한다.

구독 다이어그램

 

4. 관리 그룹 (Management Group)

- 관리 그룹은 하나 이상의 구독에 대한 액세스, 정책 등 효율적으로 관리하기 위한 구독 상위 수준의 범위이다.

- 단일 관리 그룹 내의 모든 구독은 동일한 Azure AD(Active Directory) 테넌트를 신뢰해야 한다.

관리그룹 계층 구조

1) 특징

• 각 관리 그룹 및 구독은 하나의 부모만 가능하다.
• 각 관리 그룹에는 여러 자식 요소가 있을 수 있다.
• 모든 구독 및 관리 그룹은 각 디렉터리의 단일 계층 내에 위치한다.

2) 루트 관리 그룹

• 각 디렉터리의 최상위 관리 그룹
• 글로벌 정책 및 Azure 역할 할당을 디렉터리 수준에서 적용하는 것을 허용함
• Azure AD 전역 관리자(Global)는 "사용자 액세스 관리자" 권한을 갖을 수 있음
• "사용자 액세스 관리자"는 루트 관리 그룹에 대한 액세스 권한을 갖으며, 다른 사용자에게 Azure 역할을 할당하여 관리할 수 있음
• 루트 관리 그룹에서의 사용자 액세스 할당 또는 정책 할당은 디렉터리 내의 모든 리소스에 적용됨

 

---

 

# Reference

https://docs.microsoft.com/ko-kr/azure/cloud-adoption-framework/govern/resource-consistency/resource-access-management

Azure에서 리소스 액세스 관리 - Cloud Adoption Framework

https://docs.microsoft.com/ko-kr/azure/azure-resource-manager/management/overview

Azure Resource Manager 개요 - Azure Resource Manager

https://docs.microsoft.com/ko-kr/azure/governance/management-groups/overview

관리 그룹으로 리소스 구성 - Azure Governance - Azure governance