- 인쇄
- PDF
정책 및 역할 관리
- 인쇄
- PDF
Classic/VPC 환경에서 이용 가능합니다.
정책 및 역할을 생성하고 관리하는 방법을 설명합니다.
정책 관리
정책은 서브 계정 사용자가 작업할 수 있는 권한의 묶음입니다. 서브 계정이나 그룹에 정책을 부여할 수 있고 서브 계정은 부여 받은 정책에 따라 포털 및 콘솔에서의 권한이 달라집니다.
정책의 유형은 다음과 같습니다.
- 관리형 정책: 사용자의 편의를 위해 네이버 클라우드 플랫폼에서 자체적으로 정의한 역할 기반의 정책입니다. 서비스의 Change/View 권한을 미리 정의하여 제공하는 정책으로 사용자가 수정하거나 삭제할 수 없습니다.
- 사용자 정의 정책: 계정 사용자가 직접 생성할 수 있는 정책입니다.
사용자 정의 정책 생성
각 서비스의 다양한 상세 액션을 조합하여 정책을 생성할 수 있습니다. 예를 들어 'Server 목록 조회' 권한과 '특정 서버 정지 권한'만 수행할 수 있는 서브 계정을 생성하여 담당자에게 할당할 수 있습니다. 모든 서비스에서 상세 액션 기능을 제공하는 것은 아니며 서비스별로 제공하는 상세 액션도 상이하므로 자세한 설명은 각 서비스의 권한 관리 페이지를 참고해 주십시오.
계정 사용자가 사용자 정의 정책을 직접 생성하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
[정책 생성] 버튼을 클릭해 주십시오.
정책 정보에서 생성하려는 정책명과 설명을 입력해 주십시오.
- 정책명에는 문자, 숫자, 특수문자(.,-,_)만 입력할 수 있으며 첫 글자는 문자여야 합니다.
정책 적용 대상 영역에서 플랫폼을 선택한 후, 정책을 적용할 서비스를 선택해 주십시오.
- 서비스 선택 시 해당 서비스에서 제공하는 액션 유형이 나타납니다.
- 액션 단위는 서비스별로 상이하며, 서비스별 액션에 대한 설명은 각 서비스의 권한 관리 가이드를 참고해 주십시오.
적용할 액션명을 선택한 후, [적용 대상 추가] 버튼을 클릭해 주십시오.
- 보기 권한: 해당 서비스의 조회 기능만 사용할 수 있는 권한. [펼치기] 버튼 클릭 시 세부 권한 선택 가능
- 변경 권한: 해당 서비스의 생성, 변경, 삭제 등의 기능을 사용할 수 있는 권한. [펼치기] 버튼 클릭 시 세부 권한 선택 가능
참고액션 선택 시 해당 액션과 연관된 액션이 자동으로 선택되므로 사용자는 액션별 연관 관계를 알지 못하더라도 정책을 생성할 수 있습니다. 자동으로 선택된 연관 액션을 해제하는 것이 가능하지만 연관 액션이 삭제될 경우 서브 계정을 원활하게 사용하는 데 문제가 발생할 수 있습니다. 예를 들어 서버 상세 정보 조회 권한을 선택하면 서버 목록 조회 권한도 자동으로 선택되는데, 사용자가 직접 서버 목록 조회 권한을 강제로 해제할 경우 서버의 상세 정보를 조회할 수 없게 됩니다.
정책에 적용할 Condition을 설정해 주십시오.
- 조건 키 : 정책에 적용할 속성 정보. Condition에 설정된 '키:값'과 권한 체크 대상의 '키:값'을 비교하여 권한체크
- 연산자 : 권한 체크시 권한 체크 대상의 '키:값'을 확인하는 문자열 조건
- 태그 키, 값 : 리소스를 식별하기 위한 키/값 쌍으로, 조건 키로 지정된 속성이 어떤 키, 값을 가져야하는지 의미함
- Condition 기능은 상세 액션 단위 권한 부여가 가능한 서비스에서만 사용할 수 있으며, 리소스 속성 조건 키는 ABAC 단위 권한 부여가 가능한 서비스에서만 사용할 수 있습니다. 서비스별 부여 가능한 최소 권한 단위는 서비스별 권한 정보에서 확인할 수 있습니다.
- 네이버 클라우드 플랫폼에서 제공하는 조건 키, 연산자, 값에 대한 정보는 Condition 조건 키 및 연산자 정보에서 확인할 수 있습니다.
- 액션에 따라 지정 불가능한 조건 키가 있으며, 지정 불가능한 조건 키를 Condition으로 설정한 경우 해당 액션은 수행할 수 없습니다. 액션별 지정할 수 있는 조건 키는 서비스별 Sub Account 권한관리에서 확인할 수 있습니다.
- 적용 대상 목록에 정책이 추가되었는지 확인해 주십시오.
- 서비스 선택 시 콘솔에서 해당 서비스에 대한 접근할 수 있는 권한(ProductAccess Action)은 자동으로 추가됩니다.
- 서비스 선택 시 콘솔에서 해당 서비스에 대한 접근할 수 있는 권한(ProductAccess Action)은 자동으로 추가됩니다.
- [생성] 버튼을 클릭해 주십시오.
정책은 최대 500개까지 생성할 수 있습니다.
정책 상세 정보 확인
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
화면 우측 상단의 검색 영역에서 정책을 입력하거나 해당 정책과 연관된 상품을 선택해 주십시오.
정책 목록에서 정책 이름을 클릭해 주십시오.
정책 상세 내용를 확인할 수 있습니다.
항목 설명 ID 정책 생성 시 자동으로 부여된 ID NRN Ncloud Resource Names. 리소스 이름 생성 일시 정책이 생성된 일시 수정 일시 정책이 수정된 일시 정책명 정책 이름 정책 유형 - SYSTEM_MANAGED : 관리형정책으로 사용자의 편의를 위해 네이버 클라우드 플랫폼에서 자체적으로 정의한 역할 기반의 정책
- USER_CREATED : 계정 사용자가 직접 생성할 수 있는 정책권한 상태 - Allow : 정책에서 액세스를 허용 정책 설명 정책에 대한 간단한 설명 태그 그룹을 쉽게 분류할 수 있도록 태그 키/값을 부여
- [태그관리] 를 통해 전체 태그 조회/생성/수정/삭제 가능
- 1개의 태그 키에는 1개의 태그 값만 부여 가능
- 이미 등록되어있는 태그 키에 태그 값 추가할 경우 신규 입력된 태그 값으로 수정상세 정보 화면 하단의 [적용 대상] 탭, [할당 리소스] 탭을 확인해 주십시오.
- 적용 대상: 정책에 적용된 권한 정보를 확인할 수 있습니다.
- 할당 리소스: 정책이 할당되어 있는 리소스 정보(Sub Account, Group, Role)를 확인할 수 있으며, [해지] 버튼을 클릭하여 정책 할당을 해지할 수 있습니다.
정책 수정
정책을 수정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- 정책 목록에서 정책 이름을 클릭해 주십시오.
- 정책 상세 화면에서 [수정] 버튼을 클릭해 주십시오.
- 정책 정보를 수정한 후 [수정] 버튼을 클릭해 주십시오.
정책 삭제
정책을 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- 정책 목록에서 정책 이름을 클릭해 주십시오.
- 정책 상세 화면 상단의 [삭제] 버튼을 클릭해 주십시오.
- 삭제 창이 나타나면 [삭제] 버튼을 클릭해 주십시오.
역할 관리
역할은 정책으로 구성된 임시 자격 증명입니다. 서브 계정에게만 부여할 수 있는 영구 자격 증명인 정책과 달리, 역할은 계정 뿐만 아니라 Server와 같은 리소스 자체에도 권한을 부여할 수 있습니다.
역할의 유형은 다음과 같습니다.
- server role: server role은 VPC 기반 Server 리소스에만 할당할 수 있습니다. 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다.
- account role: account role은 서브계정에게 메인 계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있습니다. 역할이 할당된 서브 계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다.
- Single Sign-On Role: Single Sign-On Role은 Ncloud Single Sign-On의 External IdP 사용자 대상으로 포털/콘솔에 접근 가능한 권한을 할당할 수 있습니다.
- Service Role: Service Role은 서비스 대상으로 다른 서비스의 리소스에 접근 가능한 권한을 할당할 수 있습니다.
server role을 활용하면 Server 내에 보관해야 하는 Access Key가 유출될 위험을 방지할 수 있고, 주기적으로 Key를 교체하기 위한 배포 작업을 생략할 수 있습니다.
역할 생성
역할을 생성하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
[역할 생성] 버튼을 클릭해 주십시오.
역할 정보 화면이 나타나면 생성할 역할의 이름, 유형, 설명을 입력해 주십시오.
- 역할 유형이 Account인 경우에는 미사용 세션 만료 시간도 입력해 주십시오.
[생성] 버튼을 클릭해 주십시오.
참고Single Sign-On Role 생성은 Ncloud Single Sign-On 서비스에서 가능합니다.
역할 상세 정보 확인
정책 상세 정보를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 화면 우측 상단의 검색 영역에서 역할을 입력해 주십시오.
- 역학 목록에서 역할 이름을 클릭해 주십시오.
- 역할 설정 정보를 확인할 수 있습니다.
항목 설명 ID 역할 생성 시 자동으로 부여된 ID NRN Ncloud Resource Names. 리소스 이름 생성 일시 역할이 생성된 일시 수정 일시 역할이 수정된 일시 역할명 역할 이름 유형 역할에 적용되는 대상을 구분하는 유형 상태 역할의 활성화/비활성화 여부 유휴 세션 만료 시간 역할 적용 대상이 Account Role인 경우 설정된 세션 만료 시간 설명 역할에 대한 간단한 설명 태그 그룹을 쉽게 분류할 수 있도록 태그 키/값을 부여
- [태그관리] 를 통해 전체 태그 조회/생성/수정/삭제 가능
- 1개의 태그 키에는 1개의 태그 값만 부여 가능
- 이미 등록되어있는 태그 키에 태그 값 추가할 경우 신규 입력된 태그 값으로 수정
역할 상세 설정
역할을 설정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 이름을 클릭해 주십시오.
- 역할 상세 화면 하단에 [정책] 탭과 [역할 적용 대상] 탭을 확인해 주십시오.
- 정책: 역할에 정책을 부여하거나 회수할 수 있습니다.
- [모든 권한 추가] 버튼을 클릭하면 모든 작업을 수행할 수 있는 권한을 부여할 수 있습니다.
- 역할 적용 대상: 역할 유형에 따라 역할에 적용되는 대상을 설정할 수 있습니다.
- server role: 역할을 부여할 Server 리소스를 지정할 수 있습니다. Server 리소스당 하나의 역할만 부여할 수 있습니다. Server 리소스 지정 창이 나타나면 리소스를 지정한 후 [적용] 버튼을 클릭해 주십시오.
- account role: 역할을 부여할 메인 계정을 지정할 수 있습니다. 본인 계정이 아닌 다른 메인계정을 지정할 경우에는 계정 이름과 로그인ID를 입력하여 계정 인증을 해야 합니다.
- Single Sign-On Role: Ncloud Single Sign-On에서 Assignment 설정 시 Ncloud Single Sign-On의 Tenant 정보를 역할 적용 대상으로 조회할 수 있습니다.
- Service Role: 역할을 부여할 서비스를 지정할 수 있습니다.
참고- account role의 적용 대상으로 설정된 메인 계정은 서브 계정이 account role로 역할 전환을 할 수 있도록 서브 계정에게 switchRole 정책을 부여해야 합니다. switchRole 정책 부여 방법은 switchRole 정책 부여을 참고해 주십시오.
- Single Sign-On Role의 정책은 Ncloud Single Sign-On 서비스에서 설정해야 합니다.
- 정책: 역할에 정책을 부여하거나 회수할 수 있습니다.
역할 정보 수정
역할의 이름과 설명을 수정하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
역할 이름을 클릭해 주십시오.
역할 상세 화면에서 [수정] 버튼을 클릭해 주십시오.
- 역할명과 설명을 수정할 수 있습니다.
- 역할 유형이 Account인 경우에는 유효 세션 만료 시간도 수정할 수 있습니다.
- 역할 유형은 수정할 수 없습니다.
- 역할명과 설명을 수정할 수 있습니다.
역할 수정이 완료되면 [수정] 버튼을 클릭해 주십시오.
참고Single Sign-On Role의 상세 정보는 Ncloud Single Sign-On 서비스에서 수정해야 합니다.
역할 삭제
역할을 삭제하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
역할 목록에서 삭제할 역할의 체크 박스를 클릭해 주십시오.
[삭제] 버튼을 클릭해 주십시오.
삭제 창이 나타나면 [삭제] 버튼을 클릭해 주십시오.
참고Single Sign-On Role의 상세 정보는 Ncloud Single Sign-On 서비스에서 삭제해야 합니다.
역할 비활성화
역할 비활성화 기능은 역할을 이용할 수 없도록 정지 상태로 전환하는 기능입니다.
역할을 비활성화하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 이름을 클릭해 주십시오.
- 역할 상세 화면에서 [비활성화] 버튼을 클릭해 주십시오.
- 비활성화 창이 나타나면 [비활성화] 버튼을 클릭해 주십시오.
- 비활성화된 역할은 상태 항목이 정지로 표시됩니다.
- Server Role 비활성화 시 access key도 무효화 처리됩니다.
- Account Role 비활성화 시 역할 전환된 서브계정은 자동 로그아웃되며 Secure Token Service(STS)도 만료됩니다.
- Single Sign-On Role은 Ncloud Single Sign-On에서 비활성화해야 합니다.
역할 전환
account role로 전환하는 방법은 다음과 같습니다. 역할 전환은 서브계정만 사용 가능합니다.
- 네이버 클라우드 플랫폼 콘솔 우측 상단의 사용자 이름을 클릭해 주십시오.
- [역할 전환] 버튼을 클릭해 주십시오.
- 역할 전환 팝업에서 전환할 역할을 선택해 주십시오.
- account role: 역할 목록에서 사용할 역할의 역할 전환 상태를 ON으로 설정해 주세요.
- 최초 역할 등록 시에는 account role NRN 정보 입력이 필요하므로, 메인 계정에게 account role 정보를 요청해 주십시오.
- Single Sign-On role: Single Sign-On Role 탭 하위 [역할 전환] 버튼을 클릭하여 전환할 역할을 선택해 주시기 바랍니다.
- account role: 역할 목록에서 사용할 역할의 역할 전환 상태를 ON으로 설정해 주세요.
역할 전환 상태에서는 역할 등록, 수정, 삭제를 할 수 없습니다. 필요한 경우에는 [서브계정으로 돌아가기] 버튼을 클릭하여 서브 계정 상태에서 역할 등록, 수정, 삭제를 진행해주시기 바랍니다.
switchRole 정책 부여
account role의 역할 적용 대상으로 설정된 메인 계정은 서브계정이 역할 전환을 할 수 있도록 switchRole 정책을 서브 계정 대상으로 부여해야 합니다.
서브 계정 대상으로 switchRole 정책 부여 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- [정책 생성] 버튼을 클릭해 주십시오.
- 다음과 같이 적용대상 설정 을 입력하여 정책을 생성해 주십시오.
- 서비스: Sub Account
- 액션명: Change/switchRole
- Resource: 리소스 지정 여부 선택 > [리소스 선택] 버튼 클릭 > 부여받은 account role 리소스 선택하여 적용
- 타 메인 계정의 account role을 부여받은 경우에는 [타 계정 리소스 등록] 버튼을 통해 account role NRN 인증 후 리소스를 적용할 수 있습니다.
- 타 메인 계정의 account role을 부여받은 경우에는 [타 계정 리소스 등록] 버튼을 통해 account role NRN 인증 후 리소스를 적용할 수 있습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Sub Accounts 메뉴를 차례대로 클릭해 주십시오.
- 역할 전환을 사용할 서브 계정의 로그인 아이디를 클릭해 주십시오.
- [서브 계정 상세] 화면에서 [정책] 탭 > [추가] 버튼을 클릭해 주십시오.
- 생성한 사용자 정의 정책을 추가해 주십시오.
- 정책이 추가 되었는지 확인해 주십시오.