- 인쇄
- PDF
정책 및 역할 관리
- 인쇄
- PDF
정책 및 역할을 생성하고 관리하는 방법을 설명합니다.
정책 관리
정책은 서브 계정 사용자가 작업할 수 있는 권한의 묶음입니다. 서브 계정이나 그룹에 정책을 부여할 수 있고 서브 계정은 부여 받은 정책에 따라 포털 및 콘솔에서의 권한이 달라집니다.
정책의 유형은 다음과 같습니다.
- 관리형 정책: 사용자의 편의를 위해 네이버 클라우드 플랫폼에서 자체적으로 정의한 역할 기반의 정책입니다. 서비스의 Change/View 권한을 미리 정의하여 제공하는 정책으로 사용자가 수정하거나 삭제할 수 없습니다.
- 사용자 정의 정책: 계정 사용자가 직접 생성할 수 있는 정책입니다.
사용자 정의 정책 생성
각 서비스의 다양한 상세 액션을 조합하여 정책을 생성할 수 있습니다. 예를 들어 'Server 목록 조회' 권한과 '특정 서버 정지 권한'만 수행할 수 있는 서브 계정을 생성하여 담당자에게 할당할 수 있습니다. 모든 서비스에서 상세 액션 기능을 제공하는 것은 아니며 서비스별로 제공하는 상세 액션도 상이하므로 자세한 설명은 각 서비스의 권한 관리 페이지를 참고해 주십시오.
계정 사용자가 사용자 정의 정책을 직접 생성하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
[정책 생성] 버튼을 클릭해 주십시오.
정책 정보에서 생성하려는 정책명과 설명을 입력해 주십시오.
- 정책명에는 문자, 숫자, 특수문자(.,-,_)만 입력할 수 있으며 첫 글자는 문자여야 합니다.
정책 적용 대상 영역에서 정책을 적용할 서비스를 선택해 주십시오.
- 서비스 선택 시 해당 서비스에서 제공하는 액션 유형이 나타납니다.
- 액션 단위는 서비스별로 상이하며, 서비스별 액션에 대한 설명은 각 서비스의 권한 관리 가이드를 참고해 주십시오.
적용할 액션명을 선택한 후 [적용대상 추가] 버튼을 클릭해 주십시오.
- 보기 권한: 해당 서비스의 조회 기능만 사용할 수 있는 권한. [펼치기] 버튼 클릭 시 세부 권한 선택 가능.
- 변경 권한: 해당 서비스의 생성, 변경, 삭제 등의 기능을 사용할 수 있는 권한. [펼치기] 버튼 클릭 시 세부 권한 선택 가능.
참고액션 선택 시 해당 액션과 연관된 액션이 자동으로 선택되므로 사용자는 액션별 연관 관계를 알지 못하더라도 정책을 생성할 수 있습니다. 자동으로 선택된 연관 액션을 해제하는 것이 가능하지만 연관 액션이 삭제될 경우 서브 계정을 원활하게 사용하는 데 문제가 발생할 수 있습니다. 예를 들어 서버 상세 정보 조회 권한을 선택하면 서버 목록 조회 권한도 자동으로 선택되는데 사용자가 직접 서버 목록 조회 권한을 강제로 해제할 경우 서버의 상세 정보를 조회할 수 없게 됩니다.
적용 대상 목록에 정책이 추가되었는지 확인해 주십시오.
- Product 선택 시 콘솔에서 해당 서비스에 대한 접근할 수 있는 권한(ProductAccess Action)은 자동으로 추가됩니다.
- Product 선택 시 콘솔에서 해당 서비스에 대한 접근할 수 있는 권한(ProductAccess Action)은 자동으로 추가됩니다.
[생성] 버튼을 클릭해 주십시오.
정책은 최대 500개까지 생성할 수 있습니다.
정책 상세 정보 확인
정책 상세 정보를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- 화면 우측 상단의 검색 영역에서 정책을 입력하거나 해당 정책과 연관된 상품을 선택해 주십시오.
- 정책 목록에서 정책 이름을 클릭해 주십시오.
- 정책 상세 내용을 확인할 수 있습니다.
- 정책 정보: 정책 설정 정보(정책명, 정책 설명, NRN, 생성일시, 수정일시 등)을 확인할 수 있습니다.
- 적용 대상: 정책에 적용된 권한 정보를 확인할 수 있습니다.
- 할당 리소스: 정책이 할당되어 있는 리소스 정보(Sub Account, Group, Role)를 확인할 수 있으며, [해지] 버튼을 통해 정책 할당 해지 가능합니다.
정책 수정
정책을 수정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- 정책 목록에서 정책 이름을 클릭해 주십시오.
- 정책 상세 화면에서 [수정] 버튼을 클릭해 주십시오.
- 정책 정보를 수정한 후 [수정] 버튼을 클릭해 주십시오.
정책 삭제
정책을 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
- 정책 목록에서 정책 이름을 클릭해 주십시오.
- 정책 상세 화면 상단의 [삭제] 버튼을 클릭해 주십시오.
- 삭제 창이 나타나면 [삭제] 버튼을 클릭해 주십시오.
정책이 할당되어 있는 리소스가 있는 경우에는 정책 삭제가 불가합니다. 정책 상세 페이지에서 정책 할당 해지 후 정책 삭제할 수 있습니다.
역할 관리
역할은 정책으로 구성된 임시 자격 증명입니다. 서브 계정에게만 부여할 수 있는 영구 자격 증명인 정책과 달리, 역할은 계정 뿐만 아니라 Server와 같은 리소스 자체에도 권한을 부여할 수 있습니다.
역할의 유형은 다음과 같습니다.
- server role: server role은 VPC 기반 Server 리소스에만 할당할 수 있습니다. 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다.
- account role: account role은 서브 계정에게 메인계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있습니다. 역할이 할당된 서브 계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다.
- Single Sign-On Role: Single Sign-On Role은 Ncloud Single Sign-On의 External IdP 사용자 대상으로 포털/콘솔에 접근 가능한 권한을 할당할 수 있습니다.
server role을 활용하면 Server 내에 보관해야 하는 Access Key가 유출될 위험을 방지할 수 있고, 주기적으로 Key를 교체하기 위한 배포 작업을 생략할 수 있습니다.
역할 생성
역할을 생성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- [역할 생성] 버튼을 클릭해 주십시오.
- 역할 정보 화면이 나타나면 생성할 역할의 이름, 유형, 설명을 입력해 주십시오.
- 역할 유형이 Account인 경우에는 미사용 세션 만료 시간도 입력해 주십시오.
- [생성] 버튼을 클릭해 주십시오.
Single Sign-On Role 생성은 Ncloud Single Sign-On 서비스에서 가능합니다.
역할 상세 설정
역할을 설정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 이름을 클릭해 주십시오.
- 역할 상세 화면 하단에 [정책] 탭과 [역할 적용 대상] 탭을 확인해 주십시오.
- 정책: 역할에 정책을 부여하거나 회수할 수 있습니다.
- [모든 권한 추가] 버튼을 클릭하면 모든 작업을 수행할 수 있는 권한을 부여할 수 있습니다.
- 역할 적용 대상: 역할 유형에 따라 역할에 적용되는 대상을 설정할 수 있습니다.
- server role: 역할을 부여할 server 리소스를 지정할 수 있습니다. Server 리소스 당 하나의 역할만 부여할 수 있습니다. Server 리소스 지정 창이 나타나면 리소스를 지정한 후 [적용] 버튼을 클릭해 주십시오.
- account role: 역할을 부여할 메인 계정을 지정할 수 있습니다. 본인 계정이 아닌 다른 메인계정을 지정할 경우에는 계정 이름과 로그인ID 입력을 통해 계정 인증을 해야 합니다.
- Single Sign-On Role: Ncloud Single Sign-On에서 Assignment 설정 시 Ncloud Single Sign-On의 Assignment 정보를 역할 적용 대상으로 조회할 수 있습니다.
참고- account role의 적용 대상으로 설정된 메인 계정은 서브 계정이 account role로 역할 전환을 할 수 있도록 서브 계정에게 switchRole 정책을 부여해야 합니다. switchRole 정책 부여 방법은 switchRole 정책 부여를 참고해 주십시오.
- Single Sign-On Role의 정책은 Ncloud Single Sign-On 서비스에서 설정해야 합니다.
역할 정보 수정
역할의 이름과 설명을 수정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 이름을 클릭해 주십시오.
- 역할 상세 화면에서 [수정] 버튼을 클릭해 주십시오.
- 역할명과 설명을 수정할 수 있습니다.
- 역할 유형이 Account인 경우에는 유효 세션 만료 시간도 수정할 수 있습니다.
- 역할 유형은 수정할 수 없습니다.
- 역할명과 설명을 수정할 수 있습니다.
- 역할 수정이 완료되면 [수정] 버튼을 클릭해 주십시오.
Single Sign-On Role의 상세 정보는 Ncloud Single Sign-On 서비스에서 수정해야 합니다.
역할 삭제
역할을 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 목록에서 삭제할 역할의 체크 박스를 클릭해 주십시오.
- [삭제] 버튼을 클릭해 주십시오.
- 삭제 창이 나타나면 [삭제] 버튼을 클릭해 주십시오.
Single Sign-On Role은 Ncloud Single Sign-On에서 삭제해야 합니다.
역할 비활성화
역할 비활성화 기능은 역할을 이용할 수 없도록 정지 상태로 전환하는 기능입니다.
역할을 비활성화하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Roles 메뉴를 차례대로 클릭해 주십시오.
- 역할 이름을 클릭해 주십시오.
- 역할 상세 화면에서 [비활성화] 버튼을 클릭해 주십시오.
- 비활성화 창이 나타나면 [비활성화] 버튼을 클릭해 주십시오.
- 비활성화된 역할은 상태 항목이 정지로 표시됩니다.
- Server Role 비활성화 시 access key도 무효화 처리됩니다.
- Account Role 비활성화 시 역할 전환된 서브 계정은 자동 로그아웃되며 Secure Token Service(STS)도 만료됩니다.
- Single Sign-On Role은 Ncloud Single Sign-On에서 비활성화해야 합니다.
역할 전환
account role로 전환하는 방법은 다음과 같습니다. 역할 전환은 서브 계정만 사용 가능합니다.
네이버 클라우드 플랫폼 콘솔 우측 상단의 사용자 이름을 클릭해 주십시오.
[역할 전환] 버튼을 클릭해 주십시오.
역할 전환 팝업에서 전환할 역할을 선택해 주십시오.
- account role: 역할 목록에서 사용할 역할의 역할 전환 상태를 ON으로 설정해주세요.
- 최초 역할 등록 시에는 account role NRN 정보 입력이 필요하므로, 메인 계정에게 account role 정보를 요청해 주십시오.
- Single Sign-On role: Single Sign-On Role 탭 하위 [역할 전환] 버튼을 클릭하여 전환할 역할을 선택해주시기 바랍니다.
- account role: 역할 목록에서 사용할 역할의 역할 전환 상태를 ON으로 설정해주세요.
역할 전환 상태에서는 역할 등록, 수정, 삭제할 수 없습니다. 필요한 경우에는 [서브계정으로 돌아가기] 버튼을 클릭하여 서브 계정 상태에서 역할 등록, 수정, 삭제를 진행해 주십시오.
switchRole 정책 부여
account role의 역할 적용 대상으로 설정된 메인 계정은 서브 계정이 역할을 전환할 수 있도록 switchRole 정책을 서브 계정 대상으로 부여해야 합니다.
서브 계정을 대상으로 switchRole 정책을 부여하는 방법은 다음과 같습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Policies 메뉴를 차례대로 클릭해 주십시오.
[정책 생성] 버튼을 클릭해 주십시오.
하기와 같이 적용대상 설정 을 입력하여 정책을 생성해 주십시오.
- 서비스: Sub Account
- 액션명: Change/switchRole
- Resource: 리소스 지정 여부 선택 > [리소스 선택] 버튼 클릭 > 부여받은 account role 리소스 선택하여 적용
- 타 메인계정의 account role을 부여받은 경우에는 [타 계정 리소스 등록] 버튼을 통해 account role NRN 인증 후 리소스를 적용할 수 있습니다.
네이버 클라우드 플랫폼 콘솔에서 Services > Management & Governance > Sub Account > Sub Accounts 메뉴를 차례대로 클릭해 주십시오.
역할 전환을 사용할 서브 계정의 로그인 아이디를 클릭해 주십시오.
[서브 계정 상세] 화면에서 [정책] 탭 > [추가] 버튼을 클릭해 주십시오.
생성한 사용자 정의 정책을 추가해 주십시오.
정책이 추가되었는지 확인해 주십시오.