Sub Account 개요

Classic/VPC 환경에서 이용 가능합니다.

Sub Account는 여러 사용자가 같은 리소스를 이용하고 관리할 수 있는 서브 계정을 제공하는 서비스입니다.
하나의 계정을 여러 명이 사용하는 경우, 다른 사람이 관리하는 리소스와 내가 관리하는 리소스가 혼재되어 관리하기 어렵고 계정의 비밀번호를 여러 사람이 공유하게 되므로 보안 문제가 발생할 위험이 높습니다. 또한 네이버 클라우드 플랫폼의 서비스를 사용하고 운용하는 담당자가 여러 명이고 각자 맡은 업무와 책임이 다른 경우, 담당자별로 리소스 사용 권한을 다르게 부여해야 하는 경우도 있습니다. 이런 상황에서 서브 계정을 활용하면 네이버 클라우드 플랫폼의 계정을 여러 개 생성하거나 계정 하나를 여러 명이 공유하지 않아도 됩니다. 메인 계정에서 생성한 서브 계정으로 로그인하여 동일한 리소스를 여러 사용자가 공유하고 관리할 수 있습니다. 동일한 자원을 공유하고 관리하므로 더 안정적으로 서비스를 운영할 수 있고, 각자에게 허용된 권한 안에서만 작업할 수 있으므로 더 안전하게 사용할 수 있습니다.

Sub Account가 제공하는 다양한 기능

Sub Account가 제공하는 다양한 기능에 대한 설명은 다음과 같습니다.

• 편리한 웹 콘솔: 웹 기반의 콘솔에서 서브 계정과 서브 계정이 속한 그룹을 생성하고 체계적으로 관리할 수 있고, 관리형 정책이나 사용자 정책을 서브 계정과 그룹에 편리하게 부여할 수 있습니다.
• 강력한 보안: 비밀번호 만료 기능을 통해 서브 계정 사용자가 주기적으로 비밀번호를 변경하도록 유도할 수 있으며, 허용되지 않은 곳에서 접속할 수 없도록 콘솔에 접근 가능한 IP 대역을 설정할 수 있습니다. 또한 Secure Token Service(STS)를 사용하여 네이버 클라우드 플랫폼 내 리소스에 대한 액세스를 제어할 수 있는 임시 Access Key를 생성하여 사용할 수 있습니다.
• 체계적인 권한 부여: 서브 계정이나 그룹에게 서비스 단위의 권한을 부여할 수 있고, 서브 계정을 받은 담당자의 역할에 맞는 작업, 리소스 단위 권한을 부분적으로 부여할 수도 있습니다. 각자 업무에 필요한 최소한의 권한을 부여함으로써 체계적인 리소스 관리가 가능합니다.

Sub Account 사용 가이드 안내

Sub Account의 원활한 이용을 위해 다음 목차와 목차별 내용을 확인해 주십시오.

• Sub Account 개요: Sub Account 소개 및 이용에 도움이 되는 연관 리소스 안내
• Sub Account 사용 준비: Sub Account를 이용하기 위한 환경 사양, 이용 요금 안내
• Sub Account 시작: Sub Account 이용을 위한 시작 방법 안내
• Sub Account 사용: Sub Account 사용 방법 안내
  • 서브 계정 생성 및 관리: 서브 계정 생성 및 관리 방법, 정책 적용 방법 안내
  • 정책 및 역할 관리: 정책 생성 및 관리 방법과 역할 생성 및 관리 방법 안내
  • External Access 인증 및 권한 관리: 네이버 클라우드 플랫폼 외부의 워크로드 인증 및 접근 권한 관리 안내
  • External Access Signing Helper CLI 사용: External Access 사용을 위한 Signing Helper CLI 사용 방법 설명
  • 서브 계정으로 로그인: 서브 계정 사용자가 서브 계정으로 로그인하는 방법 안내
  • 서비스별 권한 정보: 전체 서비스의 권한 정보 안내
  • 리소스별 할당 정보: Sub Account에서 관리하는 리소스의 항목별 제한 사항 안내
  • Condition 조건 키 및 연산자 정보: 정책 Condition 설정 시 필요한 항목들에 대한 정보 안내
• Sub Account 용어: Sub Account 사용 시 반드시 알아두어야 할 주요 용어와 해설 안내
• Sub Account 권한 관리: Sub Account의 정책 안내
• Sub Account 릴리스 노트: Sub Account 사용 가이드 업데이트 이력

Sub Account 연관 리소스

네이버 클라우드 플랫폼에서는 Sub Account에 대한 고객의 이해를 돕기 위해 사용 가이드 외에도 다양한 연관 리소스를 제공하고 있습니다. Sub Account를 도입하기 위해 고민 중이거나 데이터 관련 정책을 수립하면서 자세한 정보가 필요한 개발자, 마케터 등은 다음 리소스를 적극 활용해 보십시오.

• 요금 소개, 특징, 상세 기능: Sub Account 의 요금 체계, 특징, 상세 기능 요약
• 서비스 최신 소식: Sub Account 관련 최신 소식
• 자주 하는 질문: Sub Account 사용자들이 자주 하는 질문
• 문의하기: 사용 가이드를 통해서도 궁금증이 해결되지 않는 경우 직접 문의

자주 묻는 질문

Q. 계정과 서브 계정은 어떻게 다른가요?

• 네이버 클라우드 플랫폼을 이용하기 위해 등록한 메일 주소를 ‘계정’이라고 합니다. 계정은 사용자의 개인 정보 및 결제 정보를 가지며, 네이버 클라우드 플랫폼의 모든 서비스를 이용할 수 있습니다. 이 가이드에서는 서브 계정과의 구분을 위해 '메인 계정'이라고도 부릅니다.
• ‘서브 계정’은 계정의 자원을 함께 이용하고 관리하는 보조 역할을 수행하는 계정입니다. 서브 계정에 부여된 권한 내에서 서비스를 이용할 수 있습니다. 예를 들어, `NCP_SERVER_MANAGER' 권한이 부여된 서브 계정은 Server의 모든 기능을 이용할 수 있으며 서브 계정이 작업한 모든 내역은 Cloud Activity Tracer에서 확인할 수 있습니다.
• 서브 계정에서 사용한 다른 서비스의 이용 요금은 서브 계정을 생성한 계정에게 청구됩니다.

Q. Sub Account는 어떻게 이용하나요?

1. 메인 계정 사용자가 Sub Account에서 서브 계정을 생성합니다.
2. 메인 계정 사용자가 서브 계정에 권한을 부여하고, 서브 계정이 로그인할 접속 페이지를 설정합니다.
3. 서브 계정 사용자가 서브 계정 로그인 페이지에 접속하여 서브 계정으로 로그인합니다.
4. 서브 계정 사용자가 자신의 계정에 부여된 권한에 따라 네이버 클라우드 플랫폼의 서비스를 사용합니다.

Q. 서브 계정에 부여할 수 있는 주요 권한은 무엇이 있나요?

• 네이버 클라우드 플랫폼의 메인 계정과 동일한 접근 권한(포털 마이페이지, 콘솔 내 모든 서비스에 접근 가능)
  Sub Account에서 제공하는 관리형 정책 중 'NCP_ADMINISTRATOR' 정책을 부여하면 메인 계정과 동일하게 네이버클라우드 플랫폼 내 포털, 콘솔에 접근할 수 있습니다.

• 네이버 클라우드 플랫폼 콘솔 내 모든 서비스 접근 권한
  Sub Account에서 제공하는 관리형 정책 중 'NCP_INFRA_MANAGER' 정책을 부여하면 메인 계정과 동일하게 콘솔 내 모든 서비스에 접근할 수 있습니다.

• 네이버 클라우드 플랫폼 콘솔 내 서비스별 접근 권한
  Sub Account에서 제공하는 관리형 정책 중 'NCP_서비스명_MANAGER/VIEWER' 정책을 부여하면 해당 서비스에 접근할 수 있습니다.

• 네이버 클라우드 플랫폼 포털 내 마이페이지 > 이용관리 메뉴 접근 권한
  Sub Account에서 제공하는 관리형 정책 중 'NCP_FINANCE_MANAGER' 정책을 부여하면 네이버 클라우드 플랫폼 포털의 마이페이지 내 서비스 이용 내역, 이용 현황, 프로모션 내역, 청구 내역 추세, 솔루션 이용 현황 메뉴에 접근할 수 있습니다.

Q. 권한 부여 방식에는 어떤 것이 있나요?

• 네이버 클라우드 플랫폼에서 제공하는 권한 부여 방식은 역할 기반 액세스 제어(RBAC)와 속성 기반 액세스 제어(ABAC) 2가지가 있습니다.
• 역할 기반 액세스 제어(RBAC)는 접근이나 작업에 대한 권한을 사용자 역할에 따라 부여하는 방식으로 역할의 접근 권한은 특정 리소스에 대한 권한에 따라 결정되는 방식입니다.
• 속성 기반 액세스 제어(ABAC)는 접근이나 작업에 대한 권한을 사용자, 리소스, 작업 환경(세션) 등의 속성에 기반하여 부여하는 방식입니다.
• 네이버 클라우드 플랫폼에서는 이 속성을 '태그'라고 통칭하며 사용자, 리소스, 작업 환경에 태그를 연결함으로써 권한 체크 대상의 속성과 부여된 권한의 속성이 일치할 때 작업을 허용하도록 설계할 수 있습니다.

Q. 속성 기반 액세스 제어(ABAC)은 어떤 이점이 있나요?

• 변화 사항을 동적으로 관리할 수 있습니다 : 새 리소스에 액세스할 수 있도록 기존 정책을 업데이트할 필요 없이 새 리소스에 태그만 부여해주면 정책 수행이 가능해집니다.
• 세밀한 권한 관리가 가능합니다 : 기존 역할 기반 액세스 제어(RBAC)는 특정 리소스에 대해서만 접근 권한 관리가 가능하나 속성 기반 액세스 제어(ABAC)는 리소스의 태그와 일치하는 경우에만 정책 수행이 가능하게 하여 기존 대비 세밀한 권한 관리가 가능합니다.

Q. 속성 기반 액세스 제어(ABAC)에서 사용가능한 속성들은 어떤것이 있나요?

사용 가능한 속성은 Condition 조건 키 및 연산자 정보에서 확인할 수 있습니다. 속성 기반 액세스 제어(ABAC)에서 제공하고 있는 조건 키(속성), 연산자 뿐만 아니라 각 속성 값 확인 방법을 알 수 있습니다.

External Access

Q. 인증서 형식은 Pem 형식의 인증서만 사용 가능한가요?

• -----BEGIN CERTIFICATE-----로 시작하고, -----END CERTIFICATE----- 로 끝나는 Pem 형식의 인증서 사용이 가능합니다.
• DER 형식의 인증서는 바로 사용할 수 없고, Openssl 등의 도구를 이용해서 Pem으로 변환이 가능합니다.

Q. NCP PCA 이외의 타사 인증서 사용은 불가능한가요?

• 네이버 클라우드 플랫폼 이외의 타사 발급 인증서도 사용할 수 있도록 기능을 제공할 예정입니다.

Q. 체인인증서 사용시 인증이 실패합니다.

• 체인인증서 내부에 Root CA 인증서가 있으면 인증에 실패합니다. Root CA 인증서가 체인 인증서 내부에 포함되어 있는지 확인 후 추가되어 있다면 제외하고 사용해 주십시오.
• 체인인증서의 순서는 중요합니다. 가장 하위 인증서부터 상위 인증서 순서로 구성되어 있는지 확인해 주십시오.

Q. CRL을 등록했는데 폐기된 인증서가 인증에 성공합니다.

• 업로드한 CRL이 Enable 상태인지 확인합니다.
• CRL OpenAPI로 TrustAnchor와 CRL이 정상적으로 맵핑되어 있는지 확인합니다.
• CRL 파일에 폐기된 인증서가 정상적으로 등록해 있는지 확인합니다.
  (openssl 또는 CRL 웹 도구들로 CRL 파일 내에 등록된 폐기된 인증서 확인 가능)

Q. CRL 변경시 새로 업로드 해줘야 하나요?

• CRL에 인증서 폐기 등으로 변경이 발생하면 새로 CRL을 다운로드, 업로드해야 합니다.

Q. CRL 형식은 Pem 형식의 CRL만 사용 가능한가요?

• -----BEGIN X509 CRL----- 로 시작하고, -----END X509 CRL----- 로 끝나는 Pem 형식의 CRL 사용이 가능합니다.