서비스 특징
RBAC, ABAC 기능을 활용한 접근 권한 관리
철저한 보안
서비스, 작업, 리소스, 속성 단위의 권한 부여
리소스 자체 권한 부여 - 역할(Role)
속성 기반 접근 제어(ABAC)
상세 기능
서브 계정별 이용 범위 설정
처음 생성한 서브 계정에는 로그인 외 어떤 권한도 없는 상태입니다. 해당 서브 계정을 부여받을 담당자의 역할을 고려하여 적절한 권한을 부여해야 하며 서브 계정을 할당받은 담당자는 부여받은 권한 내에서 자유롭게 업무를 수행할 수 있습니다.담당자가 여러 가지 역할을 수행한다면 담당자의 서브 계정에 여러 권한을 동시에 부여할 수 있습니다.
그룹별 권한 지정 가능
서브 계정으로 구성된 그룹 자체에 권한을 부여할 수 있습니다. 그룹별 권한을 부여한 후 서브 계정을 그룹 내에 추가 또는 삭제하면서 권한을 편리하게 삭제할 수 있습니다.
2차 인증(2-Factor Authentication) 설정
서브 계정별로 2차 인증 사용 여부를 지정할 수 있습니다. 2차 인증을 사용하면 이메일, SMS, OTP를 사용하여 이중 보안을 적용할 수 있어 계정과 리소스를 철저하게 관리할 수 있습니다.
비밀번호 만료 설정
비밀번호 만료 기능을 활성화하면 서브 계정의 비밀번호 만료일이 설정한 비밀번호 만료일을 초과했을 때 비밀번호를 변경하도록 강제할 수 있습니다.
Secure Token Service (STS) 기능
Secure Token Service (STS)를 사용하여 네이버 클라우드 플랫폼 내 리소스로의 액세스를 제어할 수 있는 임시 Access Key를 생성할 수 있습니다. 임시 Access Key는 기간 제한이 없는 서브 계정의 Access Key와 달리 제한된 기간 동안만 유효하며 MFA 등 추가 인증 수단을 적용할 수 있습니다. 기간 제한이 없는 Access Key가 외부에 유출되면 보안에 위험할 수 있기 때문에 임시로 권한을 부여할 때 유용합니다.
역할(Role) 기능 제공
역할(Role)이란 정책(Policy)으로 구성되어 있으며 서브 계정뿐만 아니라 Server 등 다양한 주체에게 부여할 수 있는 임시 자격 증명입니다. 현재 제공 중인 역할 유형은 Server Role, Account Role, Service Role 입니다. Server Role은 VPC 기반 Server 리소스에만 할당할 수 있으며, 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다. Account Role은 서브계정에게 메인계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있으며, 역할이 할당된 서브계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다. Service Role은 서비스에 사용자를 대신하여 작업을 수행할 수 있도록 권한을 할당할 수 있으며, 서비스에서 타 서비스 리소스로의 액세스 필요 시 활용할 수 있습니다.
속성 기반 접근 제어(ABAC) 기능 제공
서브 계정 또는 리소스에 정의된 속성을 기반으로 접근 권한을 설정할 수 있습니다. 정책(Policy)에 컨디션을 부여함으로써, 컨디션에 설정된 조건 키의 '키:값' 속성과 권한 체크 대상의 '키:값' 속성을 비교하여 일치하는 경우에만 작업을 허용하도록 설정할 수 있습니다. 이러한 속성들을 '태그'로 통칭하며 네이버 클라우드 플랫폼에서 생성되는 리소스에 태그를 연결하여 접근 권한을 관리할 수 있습니다. 기존 RBAC이 새 리소스가 생성될 때 마다 액세스 권한을 부여하기 위해 기존 정책을 업데이트해야 했다면, ABAC은 새 리소스에 태그만 부여해주면 정책 수행이 가능해진다는 장점이 있습니다.
