모든 에이전트에는 UAMI(사용자 할당 관리 ID) 가 있으며 이 ID와 함께 자동으로 생성됩니다. 에이전트는 이 UAMI를 사용하여 Azure 리소스를 인증하고 상호 작용합니다. 비밀 또는 자격 증명을 관리할 필요 없이 사용자를 대신하여 작동합니다.
권한 수준
에이전트를 만드는 동안 선택한 리소스 그룹의 UAMI에 할당되는 RBAC 역할을 결정하는 권한 수준을 선택합니다.
| 수준 | 무엇을 부여하는지 | 적합한 대상 |
|---|---|---|
| Reader | 핵심 모니터링 역할 + 리소스 유형별 판독기 역할 | 읽기 전용 진단입니다. 에이전트는 필요한 조치가 있을 때 OBO를 통해 임시 권한 상승을 요청합니다. |
| 권한 | 핵심 모니터링 역할 + 리소스 유형별 기여자 역할 | 완전한 운영 권한. 에이전트는 승인된 작업을 직접 수행할 수 있습니다. |
미리 구성된 역할(항상 할당됨)
선택한 수준에 관계없이 다음 역할은 항상 할당됩니다.
| 역할 | Scope | 허용되는 내용 |
|---|---|---|
| Reader | 리소스 그룹 | 리소스 및 속성 보기 |
| Log Analytics 판독기 | 리소스 그룹 | 로그 및 작업 영역 쿼리 |
| 모니터링 판독기 | 리소스 그룹 | 지표 및 모니터링 데이터 액세스 |
| 모니터링 기여자 | Subscription | Azure Monitor 경고 승인 및 닫기 및 모니터링 설정 업데이트 |
비고
에이전트가 Azure Monitor 경고 수명 주기(승인, 닫기)를 기본으로 관리할 수 있도록 에이전트를 만드는 동안 구독 수준에서 모니터링 기여자 역할을 할당합니다.
Privileged를 선택하면 에이전트는 관리되는 리소스 그룹에서 검색한 리소스 유형(예: 리소스 그룹에 Azure Container Apps 리소스가 포함된 경우 Container App Contributor)에 따라 추가 기여자 역할을 가져옵니다.
기본 상태
에이전트를 만들 때 리소스 그룹을 할당하지 않으면 관리 ID에 권한이 없습니다. 에이전트가 모든 작업을 수행할 수 있도록 명시적으로 액세스 권한을 부여해야 합니다.
리소스에 대한 액세스 권한 부여
에이전트에 리소스 그룹을 할당한 다음 관리 ID에 RBAC 역할을 부여합니다.
# Grant Reader access to a resource group (view resources, query logs)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
# Grant Reader access to entire subscription (for broader visibility)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Reader \
--scope /subscriptions/<SUBSCRIPTION_ID>
# Grant Contributor access to a resource group (modify resources)
az role assignment create \
--assignee <AGENT_MANAGED_IDENTITY_ID> \
--role Contributor \
--scope /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP_NAME>
팁 (조언)
여러 리소스 그룹에서 읽기 전용 액세스의 경우 리소스 그룹별 리소스 그룹 대신 구독 수준에서 Reader 를 할당합니다. 쓰기 액세스의 경우 리소스 그룹 수준에서 특정 역할을 할당합니다. 에이전트의 관리 ID ID를 찾으려면 에이전트 포털로 이동합니다(설정>Azure 설정>은ID로 이동). Azure 포털에서 컨테이너 앱 리소스로 이동하여, 식별 ID를 선택하고, 개체(보안 주체) ID를 복사하여 바로 찾을 수도 있습니다.
권한 수정
관리되는 리소스 그룹에 대한 IAM 설정을 업데이트하여 언제든지 UAMI의 권한을 조정할 수 있습니다.
- 더 많은 액세스 권한 부여: 리소스 그룹의 IAM 설정에 역할 할당을 추가합니다.
- 리소스 그룹을 추가합니다. 에이전트 범위에 리소스 그룹을 추가하면 UAMI의 역할이 자동으로 할당됩니다.
- 리소스 그룹을 제거합니다. 리소스 그룹을 제거하면 리소스 그룹에 대한 모든 액세스 권한이 취소됩니다.
비고
개별 권한은 제거할 수 없으며 전체 리소스 그룹만 제거할 수 있습니다.
사용 권한 흐름
에이전트가 작업을 수행해야 하는 경우 특정 권한 흐름을 따릅니다.
이 흐름은 대화형 채팅, 인시던트 스레드, 예약된 실행 및 자율 작업을 포함하여 에이전트가 수행하는 모든 작업에 적용됩니다.
OBO(On-Behalf-Of)
관리형 ID가 해당 작업에 필요한 권한이 없을 때, 에이전트는 on-behalf-of 흐름을 통해 일시적으로 사용자 의 권한을 사용할 수 있습니다. 이 상황은 Reader 권한 수준을 선택한 경우에 특히 일반적입니다. 에이전트는 읽기 권한이 있지만 쓰기 작업을 수행하려면 자격 증명이 필요합니다.
경고
SRE 에이전트 관리자 역할이 있는 사용자만 OBO 요청에 권한을 부여할 수 있습니다. 표준 사용자는 OBO 권한 부여를 제공할 수 없습니다. 개인 Microsoft 계정은 역할에 관계없이 OBO에 권한을 부여할 수 없습니다. 회사 또는 학교(Microsoft Entra ID) 계정만 대신 토큰 교환을 지원합니다. 자세한 내용은 사용자 역할 및 권한을 참조하세요.
예시
에이전트에 컨테이너 앱의 크기를 조정하도록 요청하지만 관리 ID에는 쓰기 권한이 없습니다.
에이전트는 자격 증명을 사용하여 작업을 완료하여 권한을 부여하라는 메시지를 표시합니다. 사용 권한은 유지되지 않고 에이전트는 작업이 완료된 후 관리 ID를 사용하여 돌아갑니다.
OBO를 사용하는 경우
| 시나리오 | 어떻게 되나요? |
|---|---|
| 판독기 수준 에이전트가 작동해야 합니다. | 에이전트에게 읽기 권한이 있지만, 사용자는 서비스를 다시 시작하도록 요청합니다. 에이전트가 관리자 권한 부여를 요청합니다. |
| 자율 인시던트 대응 | 에이전트는 수정하도록 트리거되지만 관리 ID에는 Reader만 있습니다. 에이전트가 관리자 권한 부여를 요청합니다. |
| 일회성 권한 있는 작업 | 관리자에게 에이전트가 가지지 않은 권한이 있는 대화형 세션입니다. |
| 개인 계정 사용자 | OBO 권한 부여를 사용할 수 없습니다. 회사 또는 학교 계정이 있는 관리자는 대신 권한을 부여해야 합니다. |
관련 콘텐츠
| Resource | 중요한 이유 |
|---|---|
| 사용자 역할 및 권한 | 사용자가 에이전트로 수행할 수 있는 작업 |
| 실행 모드 | 에이전트가 승인을 처리하는 방법 |
| 에이전트 작업 감사 | 에이전트가 사용 권한을 바탕으로 수행한 작업에 대한 감사 내역입니다. |