안녕하세요
오늘은 NAVER CLOUD PLATFORM(이하 NCP) Sub Account에 대해서 알어보려 합니다.
Sub Account 역할
1) Role 베이스 접근 권한 제공
마스터 계정 생성 후 개발팀과 운영팀, 재무팀 모두 단일 계정으로 로그인한다고 했을 때, 재무팀에서 빌링 관련 확인 중 실수로 DB 서버를 지웠다고 가정해봅시다. 상상만 했는데 기분이 상큼하네요 ^^
이처럼 모든 권한을 가진 단일 계정으로 클라우드 리소스에 대한 제어가 가능하다면 보안 및 관리상 이슈가 발생할 수 있습니다.
해당 이슈를 사전에 예방하기 위해 NCP에는 사용자별 Role 베이스의 접근 권한을 제공하는 Sub Account 서비스를 제공합니다.
먼저 마스터 계정에 물릴 서브 계정(user)를 생성합니다.
해당 계정은 마스터가 생성한 로그인 전용 링크를 통해서만 로그인 가능합니다.
[caption id="attachment_4631" align="alignnone" width="873"]
user 대시보드 설정[/caption]
계정을 생성했으니 계정별 Role을 부여해야겠죠?
그룹(+Role)에 계정을 연동하거나, 사용자 개별적으로 Role을 부여하는 방법이 있습니다.
NCP Sub Account에서 제공하는 Role은 아래와 같습니다.
[table id=9 /]
A사처럼 클라우드 상품별 접근 권한을 관리하는 세부적인 Role 부여는 불가능하지만, 사용자의 업무 Role에 적합하게 NCP를 사용할 수 있게 제공할 수 있습니다.
각 Role에 대한 자세한 내용은
NCP Sub Account 도움말 페이지 참고 부탁드립니다.
2) 액션로그 확인
모든 퍼블릭 클라우드에는 로깅 수준의 차이는 존재하지만 VM 기준 혹은 사용자 기준의 액션로그를 제공하고 있습니다.
A사의 경우는 Cloudtrail 서비스를 이용해서 다양한 방법(cli,sdk,api)으로 호출되는 API call에 대한 사용자 기준의 로깅 기능을 제공하고 있으며,
오픈스택 경우도 VM 관련 호출되는 api(Nova api 한정)에 대한 VM 기준의 액션로그를 아래와 같이 제공합니다.
[caption id="attachment_4639" align="alignnone" width="730"]
openstack VM 액션로그[/caption]
NCP에서도 아래와 같이 콘솔에서 사용자 기준의 액션로그를 확인할 수 있습니다. 다양한 클라우드 리소스의 api call에 대한 로깅을 제공합니다.
참고로 액션로그는 마스터 계정의 Sub Account 메뉴에서만 확인 가능하며, 최근 한 달간의 로그를 확인할 수 있습니다. (로그 로우 데이터 저장은 불가능합니다.)
[caption id="attachment_4628" align="alignnone" width="1568"]
NCP 액션로그[/caption]
오늘은 여기까지입니다!!
보다 자세한 설명 혹은 추가 궁금한 사항은
NCP Sub Account 도움말 페이지 참고 부탁드립니다.