서비스 특징
RBAC, ABAC 기능을 활용한 접근 권한 관리
철저한 보안
Sub Account의 비밀번호 만료 기능을 이용하여 서브 계정별로 주기적인 비밀번호 변경을 유도할 수 있고 접근 가능한 IP 대역을 설정하여 허용하지 않은 위치에서의 접근을 차단할 수 있습니다. 또한 Secure Token Service(STS)를 사용하여 리소스로의 액세스를 제어할 수 있는 임시 Access Key를 생성할 수도 있습니다.
서비스, 작업, 리소스, 속성 단위의 권한 부여
관리형 정책을 활용하여 인프라 관리자, 재무 관리자 등 기본적인 업무 단위의 권한을 부여할 수 있습니다. 뿐만 아니라 서브 계정이 수행할 수 있는 작업 권한을 세부 액션 및 리소스, 속성 단위로 사용자 정의 정책을 설정하여 권한을 부여할 수 있습니다. 이를 통해 각자 역할에 맞는 세분화된 권한을 부여해 접근을 제어할 수 있습니다.
리소스 자체 권한 부여 - 역할(Role)
역할(Role)은 정책(Policy)으로 이루어진 임시 자격 증명입니다 기존의 정책(Policy)이 서브 계정에만 부여할 수 있는 영구 임시 증명이라면 역할(Role)은 계정뿐만 아니라 Server, Service 등 리소스 자체에 권한을 부여할 수 있는 영구 임시 자격 증명입니다.
속성 기반 접근 제어(ABAC)
서브 계정의 권한을 속성(Attribute) 기반으로 정의하여 접근 권한을 제어할 수 있습니다. 고정된 리소스에 역할을 통해 권한을 부여하는 RBAC(Role Based Access Control) 대신 '태그'로 통칭되는 속성에 기반한 ABAC(Attribute Based Access Control)을 사용함으로써 유연하고 세밀한 접근 권한 관리가 가능합니다.
상세 기능
서브 계정별 이용 범위 설정
처음 생성한 서브 계정에는 로그인 외 어떤 권한도 없는 상태입니다. 해당 서브 계정을 부여받을 담당자의 역할을 고려하여 적절한 권한을 부여해야 하며 서브 계정을 할당받은 담당자는 부여받은 권한 내에서 자유롭게 업무를 수행할 수 있습니다.담당자가 여러 가지 역할을 수행한다면 담당자의 서브 계정에 여러 권한을 동시에 부여할 수 있습니다.
그룹별 권한 지정 가능
서브 계정으로 구성된 그룹 자체에 권한을 부여할 수 있습니다. 그룹별 권한을 부여한 후 서브 계정을 그룹 내에 추가 또는 삭제하면서 권한을 편리하게 삭제할 수 있습니다.
2차 인증(2-Factor Authentication) 설정
서브 계정별로 2차 인증 사용 여부를 지정할 수 있습니다. 2차 인증을 사용하면 이메일, SMS, OTP를 사용하여 이중 보안을 적용할 수 있어 계정과 리소스를 철저하게 관리할 수 있습니다.
비밀번호 만료 설정
비밀번호 만료 기능을 활성화하면 서브 계정의 비밀번호 만료일이 설정한 비밀번호 만료일을 초과했을 때 비밀번호를 변경하도록 강제할 수 있습니다.
Secure Token Service (STS) 기능
Secure Token Service (STS)를 사용하여 네이버 클라우드 플랫폼 내 리소스로의 액세스를 제어할 수 있는 임시 Access Key를 생성할 수 있습니다. 임시 Access Key는 기간 제한이 없는 서브 계정의 Access Key와 달리 제한된 기간 동안만 유효하며 MFA 등 추가 인증 수단을 적용할 수 있습니다. 기간 제한이 없는 Access Key가 외부에 유출되면 보안에 위험할 수 있기 때문에 임시로 권한을 부여할 때 유용합니다.
역할(Role) 기능 제공
역할(Role)이란 정책(Policy)으로 구성되어 있으며 서브 계정뿐만 아니라 Server 등 다양한 주체에게 부여할 수 있는 임시 자격 증명입니다. 현재 제공 중인 역할 유형은 Server Role, Account Role, Service Role 입니다. Server Role은 VPC 기반 Server 리소스에만 할당할 수 있으며, 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다. Account Role은 서브계정에게 메인계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있으며, 역할이 할당된 서브계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다. Service Role은 서비스에 사용자를 대신하여 작업을 수행할 수 있도록 권한을 할당할 수 있으며, 서비스에서 타 서비스 리소스로의 액세스 필요 시 활용할 수 있습니다.
속성 기반 접근 제어(ABAC) 기능 제공
서브 계정 또는 리소스에 정의된 속성을 기반으로 접근 권한을 설정할 수 있습니다. 정책(Policy)에 컨디션을 부여함으로써, 컨디션에 설정된 조건 키의 '키:값' 속성과 권한 체크 대상의 '키:값' 속성을 비교하여 일치하는 경우에만 작업을 허용하도록 설정할 수 있습니다. 이러한 속성들을 '태그'로 통칭하며 네이버 클라우드 플랫폼에서 생성되는 리소스에 태그를 연결하여 접근 권한을 관리할 수 있습니다. 기존 RBAC이 새 리소스가 생성될 때 마다 액세스 권한을 부여하기 위해 기존 정책을 업데이트해야 했다면, ABAC은 새 리소스에 태그만 부여해주면 정책 수행이 가능해진다는 장점이 있습니다.
