에이전트는 문제를 조사하고, 프로덕션 인프라에 대한 작업을 수행하고, 환경 전체에서 중요한 데이터에 액세스할 수 있습니다. 액세스 제어는 작업을 요청할 수 있는 사람, 승인할 수 있는 사용자 및 에이전트의 구성을 수정할 수 있는 사용자를 결정합니다.
액세스 제어 개요
액세스 제어는 다음 세 계층에서 작동합니다.
| 레이어 | 컨트롤 | 에서 구성됨 |
|---|---|---|
| 사용자 역할 (이 페이지) | 사용자가 에이전트로 수행할 수 있는 작업 | 에이전트 리소스의 Azure IAM |
| 실행 모드 | 에이전트가 행동하기 전에 묻는지 여부 | 응답 계획별 및 예약된 작업별 |
| 에이전트 권한 | 에이전트가 Azure에서 액세스할 수 있는 것 | 리소스 그룹의 RBAC 역할 |
세 가지 기본 제공 역할
| 역할 | 할 수 있음 | 할 수 없음 |
|---|---|---|
| SRE 에이전트 판독기 | 스레드, 로그, 인시던트 보기 | 채팅, 작업 요청, 모든 항목 수정 |
| SRE 에이전트 표준 사용자 | 채팅, 진단 실행, 작업 요청 | 작업 승인, 리소스 삭제, 커넥터 수정 |
| SRE 에이전트 관리자 | 작업 승인, 커넥터 관리, 리소스 삭제 | — |
에이전트를 만드는 사용자는 SRE 에이전트 관리자 역할을 자동으로 받습니다.
누가 어떤 역할을 해야 하나요?
| 역할 | 제공 |
|---|---|
| SRE 에이전트 판독기 | 감사자, 규정 준수 팀, 가시성이 필요한 관련자 |
| SRE 에이전트 표준 사용자 | L1/L2 엔지니어, 첫 번째 응답자, 문제를 진단하는 사람 |
| SRE 에이전트 관리자 | SRE 관리자, 클라우드 관리자, 인시던트 사령관 |
포털에서 사용 권한을 적용하는 방법
포털은 에이전트에 액세스할 때 Azure 역할 할당을 확인합니다. 액세스는 두 수준에서 적용됩니다.
에이전트 액세스 권한 없음
SRE 에이전트 역할 할당이 없으면 포털에 보호 아이콘이 있는 Access 필수 화면과 Azure IAM 블레이드를 여는 go to Access Control 단추가 표시됩니다. 리소스에 Azure 소유자 또는 참가자가 있는 경우 관리자 역할을 자동으로 할당하는 배너 제공도 표시됩니다.
백엔드 적용
SRE 에이전트 역할이 있지만 사용 권한 이외의 작업을 시도하는 경우 백 엔드는 403 오류로 작업을 차단합니다. 포털에서 페이지로 이동하거나 단추를 선택할 수 있지만 서버에 도달하면 사용 권한 오류가 발생하여 작업이 실패합니다.
메모
일부 포털 기능은 쓰기 권한이 없는 경우 단추를 사전에 사용하지 않도록 설정합니다. 그러나 이는 아직 모든 기능에서 일관되지 않습니다. 백 엔드는 UI에 표시되는 내용에 관계없이 항상 올바른 권한을 적용합니다.
각 역할이 액세스할 수 있는 사항
| 영역 | Reader | 표준 사용자 | 관리자 |
|---|---|---|---|
| 채팅 | 스레드 보기(읽기 전용) | 메시지 보내기, 스레드 시작 | 전체 액세스 + 작업 승인, 스레드 삭제 |
| 에이전트 캔버스 | 사용자 지정 에이전트 보기 | 사용자 지정 에이전트 보기 | 사용자 지정 에이전트 만들기, 편집, 삭제 |
| 기술 자료 | 문서 찾아보기 | 문서 업로드 | 문서 업로드 + 삭제 |
| 커넥터 | 커넥터 보기 | 커넥터 보기 | 커넥터 추가, 편집, 삭제 |
| 응답 계획 | 계획 보기 | 계획 보기 | 계획 만들기, 편집, 삭제 |
| 관리되는 리소스 | 리소스 보기 | 리소스 보기 | 리소스 추가, 제거 |
| 설정 | 설정 보기 | 설정 보기 | 설정 수정, 에이전트 중지/삭제 |
역할 할당
Azure 포털(AAM(액세스 제어)> 역할 할당 추가) 또는 Azure CLI 통해 역할을 할당합니다.
az role assignment create \
--assignee user@company.com \
--role "SRE Agent Administrator" \
--scope <agent-resource-id>
역할 이름을 SRE Agent Standard User 또는 SRE Agent Reader로 필요에 따라 대체하세요.
역할이 함께 작동하는 방법
| Step | 누구 | 조치 |
|---|---|---|
| 1 | 엔지니어(표준 사용자) | "구성 문제 해결" |
| 2 | 대리인 | 초안 대책 계획 |
| 3 | 대리인 | 실행할 수 없습니다(관리자 승인 필요). |
| 4 | 관리자(관리자) | 검토 및 승인 |
| 5 | 대리인 | 관리 ID를 사용하여 수정 실행 |