Zadara의 IAM은 사용자, 그룹, 역할(Role), 권한(Policy) 을 통합 관리하여 클라우드 리소스에 대한 보안 접근 제어를 제공하는 기능입니다.
조직 내 사용자별로 세분화된 권한을 부여해 최소 권한 원칙(Least Privilege) 을 구현할 수 있습니다.
역할 기반 접근제어(RBAC)
사용자별 리소스 사용 권한 관리 가능 (예: 관리자·사용자)
IAM(Identity and Access Management) 개요
핵심 개념
| 항목 | 설명 |
|---|---|
| User | Zadara 콘솔에 로그인 가능한 개별 사용자 계정. API Key, Password, MFA 적용 가능 |
| Group | 여러 사용자를 묶어 동일한 Policy를 일괄 적용할 수 있는 단위 |
| Role | 특정 작업 수행을 위한 권한 세트. 다른 사용자나 서비스가 임시로 Role을 맡을 수도 있음 (Assume Role) |
| Policy | JSON 기반의 접근 제어 규칙으로, 특정 리소스에 대한 허용/거부(Allow/Deny) 정의 |
| Tenant | IAM 리소스가 속한 프로젝트 단위. 각 Tenant는 완전히 격리되어 운영됨 |
정책(Policy) 구조
정책은 Statement 블록으로 구성되며, 각 항목은 다음과 같은 키를 가짐.
- Effect: Allow 또는 Deny
- Action: 수행 가능한 API 동작 (예: vpsa:CreateVolume)
- Resource: 정책이 적용되는 리소스 ARN
- Condition: 특정 조건일 때만 허용/거부 (예: IP, MFA 등)
정책 적용 방식
- User 직접 연결: 개별 사용자에 정책 부여
- Group 연결: 여러 사용자에게 공통 권한 부여
- Role 기반 접근: 특정 서비스나 사용자에게 임시 권한 위임 가능
- 정책 우선순위: Deny > Allow 규칙이 우선 적용됨
MFA 및 인증
- Zadara IAM은 MFA(Multi-Factor Authentication)를 지원하여 로그인 시 보안 강화 가능
- 지원 방식: OTP 기반(Authenticator App) /이메일/토큰 기반 2차 인증
API Key 관리
- 각 사용자는 Access Key / Secret Key 발급 가능
- API Key는 CLI 및 SDK 사용 시 필수
- Key 로테이션(교체)을 정기적으로 권장
감사 및 로깅
관리자는 사용자 로그인, 정책 변경, 리소스 접근 기록을 확인 가능
Best Practice
- Root 계정은 사용하지 않고, 관리자 Role 기반 계정으로 운영
- 사용자별 최소 권한 설정 정기적인 Key Rotation 및 MFA 의무화
- 그룹 기반 정책 관리로 운영 효율성 확보