오라클 클라우드 - IAM

 

Identity access Management

IAM은 사용자 관리 및 접근 관리라고 생각을 하시면 될것 같습니다.

IAM 중 중요한 부분만 애기를 해 보면 AuthN과 AuthZ라는 부분이 있습니다.

- AuthN : 사용자가 누구냐에 초점을 맞춘 관리 포인트 입니다.

- AuthZ : 사용자가 어떤 권한을 가지고 있냐에 초점을 맞춘 관리 포인트 입니다. 자원에 관리 및 접근 관리 입니다.

​

오라클 클라우드 Identity Concept

오라클 에서 ID 개념은 아래와 같은 것들이 있습니다.

1) User

2) Groups

3) Pricipals

4) Dynamic Groups

5) Policies

6) Compartments

7) Resource

8) Federation

9) Network Source

그리고 ID개념간 구조를 도식화 해보면 아래 그림과 같습니다.

Users들이 Group에 소속이 되고 이 그룹에 정책이 적용이 되고 이 정책이 최상의 자원인 Compartment에 적용이 되고 이 Compartment가 실제 Resource레 적용이 되는 구조 입니다.

​

오라클에서 OCID라는 ID를 통해서 자원들을 구분을 하게 됩니다. 이 OCID의 생성 규칙은 아래와 같은 구조로 생성이 되고 해당 리소스에 할당이되어 사용을 하게 됩니다.

​

할당 구조: ocid1.<Resource Type>.<Realm>,[resion][.Future usee].<UNIQUE ID>

Example) ocid1.volume.oc1.eu-frankfurt-1.anghckekfjkdmleklfdlkslckldfsgerghtlkdlgklkdfg

​

Auth-N : Who are you

사용자 관리는 아래와 같은 개념으로 관리가 진행이 됩니다. 사용자들을 비슷한 자원에 접근을 하는 사용자 그룹으로 분류를 하고 이 그룹에 주요 자원을 할당을 하는 구조 입니다.

사용자 관리 부분은 아래와 같이 3가지 부분이 있습니다.

​

1)ID/Pass : 로그인시 사용하는 id/password와 같이 사용자별 인증을 위한 부분 입니다.

2) API Signaling Key : 오라클 API를 호출 하기 위해 사용이 되고 아래와 같이 OCI API+ SDK/CLI와 RSA Key pair로 구성이 됩니다.

3) Auth Token: 3Rd'part의 API를 호출을 할때 사용이 됩니다. 그 구성은 오라클에서 생성한 Token과 인증된 Third Parth의 API로 구성이 됩니다.

​

AuthZ : what permission do you have

AuthZ는 권한과 관련된 부분입니다. ,주로 정책에 관련된 부분이고. 사용자에게 어떤 사용자 및 그룹에게 어느 자원에 대해서 어떤 권한을 부여를 하는지에 대해 정의하는 부분 입니다.

위의 그림은 AuthZ의 정책 구조 입니다. 이 정책의 구문은 그림과 같이 아래와 같은 순서 대로 적용이 됩니다.

구문

allow ==> Subject ==> to ==> Action ==> in ==> placement ==> where ==> condition

​

이 정책을 구성하는 각 항목들을 살펴 보면 아래와 같습니다.

- Subject : 해당 정책이 적용되는 주체, 행위를 할수 있는 주체를 의미 합니다.

1)group

2)dynamic-group

3) service

4) any-user

5) id

6) ocid

7) Name

​

- Action : 주체가 할수 있는 행위를 정의를 하며 verv + resource로 구성이 됩니다.

1)verb : Subject가 수행 할수 있는 행동들을 정의를 합니다.

. inspect : 관찰, 세기, 모니터, W/O할 권한

. read : 접근할 권한이지만 바꾸지는 못하는 권한

. use : 기 존재하는 resource의 수정 권한

. manage : 리소스를 운영할 모든 허가.

​

2)resource : Subject가 verb의 동작을 수행할 수 있는 Resrouce를 정의를 합니다.

. all-resource : 모든 자원

. database-family : db-system, db-node, db-homes, databases

. instance-family : instance, instance-image, volumn-attachments, console-histories

. object-family : buckets, objects

. virtual-network-family : vcn, subnet, route-tables, security-list, dhcp-options, others

. volumn-family : volumns, volumn-attachments, volumn-backup

​