업무에 필요한 권한만 부여. 만료/승인/검토 자동화(옵션).
Identity & Access Management요금: 별도문의
IAM (사용자 / 역할 / 정책)
조직의 모든 리소스 접근을 일원화하여 관리합니다. 사용자·역할·정책 기반으로 최소권한을 구현하고, SSO·MFA·감사로그와 연계해 보안/컴플라이언스를 강화합니다.
역할(Roles)로 권한을 묶어 재사용. 팀/프로젝트/환경별 규격화.
SAML/OIDC 연동, MFA(OTP/U2F) 강제, 세션·장치 정책.
승인 흐름, 변경 이력, 액세스 로그로 규정 준수.
구성요소
| 구성 | 설명 | 주요 사용처 |
|---|---|---|
| 사용자(Users) | 사람 계정. SSO 연동 또는 로컬 디렉터리. | 콘솔 로그인, 개인 액세스 토큰 |
| 그룹(Groups) | 사용자 집합. 역할/정책을 일괄 연결. | 팀/조직 단위 권한 부여 |
| 역할(Roles) | 업무 단위 권한 세트. 사용자/그룹/서비스 계정에 할당. | 운영자, 개발자, 감사자 등 |
| 정책(Policies) | 허용/거부 규칙(JSON). 리소스, 액션, 조건을 정의. | 세밀한 접근 제어(ABAC) |
| 서비스 계정 | 애플리케이션/CI용 비인간 계정. 키/만료/회전. | API 호출, 자동화 파이프라인 |
접근 제어 모델
| 모델 | 방식 | 적합 시나리오 |
|---|---|---|
| RBAC | 역할에 권한을 부여, 사용자/그룹에 역할 할당 | 표준화된 직무/환경 구분(dev/stage/prod) |
| ABAC | 태그/속성(프로젝트, 리전, 소유자 등) 기반 조건 | 멀티테넌시, 자원 폭증, 동적 속성 제어 |
| 스코프 기반 | API 스코프 단위로 최소한의 권한 위임 | 서드파티 통합, OAuth/OIDC 클라이언트 |
정책 예시(JSON)
리소스 태그로 프로젝트=alpha에만 읽기 권한을 허용하는 예시입니다.
{
"Version": "2025-01-01",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute:Read",
"storage:GetObject",
"vpc:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": { "resource:Project": "alpha" }
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"IpNotIn": { "request:SourceIp": ["203.0.113.0/24", "198.51.100.0/24"] }
}
}
]
}
권한 경계(Guardrail)
상위 정책으로 최대 허용 범위를 한정하고, 하위 역할/사용자 정책은 그 안에서만 허용됩니다. 조직/프로젝트 레벨에서 비용/보안 리스크를 줄입니다.
정책 수명주기
초안 → 검토/승인 → 배포 → 감사. 변경은 PR/티켓과 연동해 추적성(Traceability)을 확보합니다.
인증 / SSO & 키 관리
| 항목 | 설명 | 비고 |
|---|---|---|
| SSO (SAML/OIDC) | 기업 IdP 연동, 자동 프로비저닝(SCIM) | JIT 프로비저닝(옵션) |
| MFA | OTP/U2F, 위험기반 로그인 정책 | 고위험 리소스에 필수화 권장 |
| 액세스 키 | 서비스 계정용 키 발급/회전/만료 | 최소 권한 스코프 |
| 세션 제어 | IP/국가/ASN/단말 속성 기반 정책 | 시간대/기간 제한 |
감사 / 컴플라이언스
| 항목 | 범위 | 설명 |
|---|---|---|
| 감사 로그 | 로그인/정책 변경/권한 상승 | 불변 저장(Write-Once) 옵션, 외부 SIEM 연동 |
| 액세스 로그 | API/콘솔 호출 | 요청자/리소스/정책 매칭 결과 기록 |
| 규정 준수 | ISMS/ISO 27001/개인정보 | 권한 검토(SoD), 주기적 인증 점검 리포트 |
베스트 프랙티스
최소 권한 — 역할/정책은 사용 목적별로 세분화하고, 만료/리뷰를 자동화.
분리(SoD) — 배포/운영/감사 권한 분리, 비상승급 절차 운영.
속성 기반 — 프로젝트/환경/소유자 태그로 ABAC 조건을 표준화.
서비스 계정 — 키 수명 짧게, 주기적 회전, IP/스코프 제한.
감사 우선 — 모든 변경은 티켓/PR과 연결, 외부 SIEM으로 보관.
온보딩/오프보딩 — SSO/SCIM 연동으로 자동 생성/회수.
요금 안내
요금: 별도문의
조직 사용자 수, 역할/정책 개수, 감사 로그 보관 기간, 외부 연동(SSO/SCIM/SIEM) 범위에 따라 산정됩니다.
조직 전반의 접근 제어를 표준화하세요
현재 사용자/권한 체계를 알려주시면 최적의 역할/정책 템플릿을 제안드립니다.
IAM 도입 상담