IAM 기본 컨셉

IAM의 기본 개념(사용자계정 및 권한 관리)으로, 계약한 CDN 솔루션을 사용하기 위한 서비스 관리자(Administrator) 역할을 할 때 유용하다. 씨디네트웍스 IAM은 개별 서비스 리소스의 권한 및 액세스 권한을 부여하는 역할을 관리할 수 있는 많은 IAM 기능을 관리자 (Administrator)에게 제공한다.

사용자 계정 유형

Console에서 제공하는 사용자 계정에는 메인 계정(Main Account 또는 Primary Account)과 서브 계정(Subaccount)의 두 가지 유형이 있다. 계정 유형은 [계정 관리] → [기본 정보]를 참고하십시오

• 메인 계정(Main Account 또는 Primary Account) (“마스터 계정”과 동일):

  • 씨디네트웍스 Console 내 솔루션의 '메인 계정(Main Account)'은 모든 사용자 계정을 관리하고 권한을 부여할 수 있는 권한이 있다.

  • 씨디네트웍스는 고객에게 단 하나의 '메인 계정’만 제공하며, ‘메인 계정(주계정)’은 계약한 CDN 솔루션을 사용하기 위해 서비스를 관리하는 관리자(Administrator)이다.

  • IAM으로 '메인 계정’을 사용할 때 고객별 비즈니스 관리 요구 사항에 해당하는 최종 사용자의 다양한 서브 계정을 직접 만들 수 있다.

• 서브 계정(Subaccount):

  • '서브 계정(Subaccount)'은 주 계정이 씨디네트웍스 솔루션의 지정된 기능을 사용할 수 있는 권한을 부여하여 제품/솔루션 및 서비스에 액세스할 수 있는 최종 사용자의 로그인 계정이다.
  

ID 자격 증명

• ID 자격 증명은 CDNetworks Console에 로그인할 때 사용자를 식별하는 데 사용됩니다.로그인 비밀번호 또는 AccessKey를 나타냅니다.

• 로그인 이름 및 비밀번호:

  • 로그인 이름과 암호를 사용하여 CDNetworks Console에 로그온하여 제품 및 서비스 리소스를 관리할 수 있습니다.

• 엑세스 키(Access Key)

  • 액세스 키(Access Key) 를 사용하여 API 요청을 보내거나 클라우드 서비스 SDK를 사용하여 리소스를 관리할 수 있습니다.

  • 현재 AK/SK는 Object Storage와 같은 일부 제품에서만 사용할 수 있습니다.

• Object Storage API를 호출하여 엑세스키(Access Key) 인증을 통해 사용할 수 있습니다.

• ID 자격 증명은 기밀 정보이며 비밀번호를 보안 유지해야 합니다.

정책 (Permission 및 Action)

• 정책

  • 허용 액션(Action)과 거부 액션(Action)의 집합체 이다.

  • 제품/서비스 요청을 시도하면 Console은 다음 단계에 따라 요청을 수행합니다.

  • 예를 들어, 사용자 계정 A는 CDN 도메인 #1 의 “트래픽 보고서 보기” 요청 시도.

  • 요청을 인증하고 권한을 부여한 후 씨디네트웍스 플랫폼은 IAM에 요청이 작업을 승인하지 않는지 여부를 확인 (“트래픽 보고서 보기”).

  • IAM은 CDN 도메인 #1 의 작업 권한 (트래픽 보고서 가져오기) 이 허용 여부 확인.

  • IAM은 사용자 계정 A가 컨트롤 그룹 관리에서 CDN 도메인 #1 에 액세스 허용 여부 확인.

  • 위의 두 가지 조건이 부합되면 사용자 계정 A가 CDN 도메인 #1 의 “트래픽 보고서 보기” 요청 결과 확인 가능.

• 정책 소유자(Policy Owner)가 서로 다른 두 가지 유형이 있다.

• 시스템 정책

  • 시스템 정책은 씨디네트웍스에서 생성 및 관리되므로 시스템 정책을 변경할 수 없다.

• 사용자 맞춤 정책(사용자 정의 정책)

  • 사용자 맞춤 정책은 고객의 비즈니스 요구 사항에 따라 고객이 만들고 관리할 수 있다.

• 서로 다른 생성 방법(Creation way)에 기반한 두 가지 정책:

• 기능 정책(Functional Policy)

  • CDN 제품/클라우드 보안 제품에 사용할 수 있으며 CDN 제품 및 클라우드 보안 제품의 기능을 허용/거부할 수 있다.

  -컨트롤 그룹 관리로 관리되는 CDN 도메인에 액세스할 수 있는 사용자 계정을 설정한다.
  (예를 들어, 사용자 계정 A에는 컨트롤 그룹 관리를 통해 CDN 도메인 목록을 설정하는 원점 구성을 변경할 수 있는 권한이 있다) Console에서 트래픽 보고서를 가져올 수 있다. )

• 표현식 정책(Expression Policy)

  • Object Storage 제품에 사용 가능하며, CDN 제품 및 클라우드 보안 제품에는 사용할 수 없다.
  • 표현식(Expression)을 사용하여 IAM 구조 및 구문을 기반으로 특정 리소스에 대한 특정 작업 권한을 할당할 수 있다.
  • 자세한 내용은 표현 정책 문서를 참조하십시오.

컨트롤 그룹(Control-Group) (계약 및 서비스 리소스)

씨디네트웍스의 가속 도메인이 한 곳에서 확인할 수 있으며, 컨트롤 그룹에 포함된 가속 도메인의 트래픽, 과금 및 서비스 구성을 모니터링할 수 있는 사용자를 할당할 수 있다.

• CDN/클라우드 보안 솔루션에서 사용할 수 있다. (CA, DWA, MA, Flood Shield, WAF 등)

• 씨디네트웍스의 동일한 솔루션을 계약별로 서비스를 관리하는 경우 컨트롤 그룹은 계약에 따라 CDN 도메인을 분리하여 관리할 수 있다.

  • 예: CA 솔루션의 여러 계약을 체결한 경우 각 계약 별 CDN 도메인을 관리하는 경우 컨트롤 그룹은 계약에 따라 CDN 도메인을 구분하여 관리한다.

• 사용자 계정에 컨트롤 그룹이 할당된 후 해당 그룹은 도메인을 관리할 수 있는 액세스 권한을 부여받는다.

• 가속 도메인은 여러 컨트롤 그룹에 속할 수 있으며 한 사용자를 여러 컨트롤 그룹에 할당할 수 있다.

• 컨트롤 그룹은 세 가지 계약 그룹이 있다.

  - ‘사전 정의 -고객(Predefined – Customer)’ 컨트롤 그룹

  계약 및 최초 사용자가 생성될 때 자동으로 생성되는 컨트롤 그룹으로, 고객 계정에 관련된 모든 도메인이 포함된다. 해당 컨트롤 그룹의 이름은 수정할 수 없다.

  - ‘사전 정의 – 솔루션(Predefined – Product)’ 컨트롤 그룹

  자동으로 생성되는 컨트롤 그룹으로, 새로운 계약과 관련된 모든 도메인이 포함된다. 계약의 총 트래픽을 표시하고 과금 내역. 조정하여 예상되는 트래픽 변경 또는 계약 업그레이드를 할 수 있다.

  - ‘사용자 맞춤(User-Customized)’ 컨트롤 그룹

  기타 모든 컨트롤 그룹은 메인 계정에 의해 생성 및 맞춤화되며, 고객 계정과 관련된 모든 계약의 임의 도메인을 모두 포함할 수 있으며 고객 계정과 관련된 모든 사용자에게 액세스 권한을 부여할 수 있다