보안
사용자 계정 및 역할
변경 제안
PDF
Cloud Insights는 계정 소유자, 관리자, 사용자 및 게스트의 최대 4개의 사용자 계정 역할을 제공합니다. 각 계정에는 아래 표에 명시된 특정 권한 수준이 할당됩니다. 사용자는 둘 중 하나입니다 "초대되었습니다" Cloud Insights에 로그인하여 특정 역할을 할당하거나 을 통해 로그인할 수 있습니다 "SSO(Single Sign-On) 인증" 기본 역할을 사용합니다. SSO 인증은 Cloud Insights 프리미엄 에디션의 기능으로 제공됩니다.
|
Cloud Insights Federal Edition의 사용자 로그인은 구성된 ID 공급자(지정된 전자 메일 도메인)로 제한됩니다. 새 사용자를 Cloud Insights 연방 환경에 초대하는 경우 해당 이메일 주소는 해당 환경에 구성된 도메인과 일치해야 합니다. |
사용 권한 수준
관리자 권한이 있는 계정을 사용하여 사용자 계정을 만들거나 수정합니다. 각 사용자 계정에는 다음과 같은 권한 수준에서 각 Cloud Insights 기능에 대한 역할이 할당됩니다.
| 역할 | 관찰 가능성 | 워크로드 보안 | 보고 |
|---|---|---|---|
계정 소유자 |
구독을 수정하고, 청구 및 사용 정보를 보고, 관찰 가능성, 보안 및 보고를 위한 모든 관리자 기능을 수행할 수 있습니다. 또한 소유자는 사용자를 초대하고 관리할 수 있을 뿐 아니라 SSO 인증 및 ID 페더레이션 설정을 관리할 수 있습니다. 첫 번째 계정 소유자는 Cloud Insights에 등록할 때 생성됩니다. 각 Cloud Insights 환경에 대해 계정 소유자를 두 명 이상 두는 것이 좋습니다. |
||
관리자 |
모든 관찰 가능성 기능, 모든 사용자 기능, 데이터 수집기 관리, 관찰 가능성 API 토큰 및 알림을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 관찰 가능성 역할만 할당할 수 있습니다. |
경고, Forensics, 데이터 수집기, 자동화된 응답 정책 및 보안을 위한 API 토큰을 포함한 모든 보안 기능을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 보안 역할만 할당할 수 있습니다. |
보고 API 토큰 관리, 보고서 구성, 보고 작업 종료 및 재시작 등의 모든 관리 작업을 포함한 모든 사용자/작성자 기능을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 보고 역할만 할당할 수 있습니다. |
사용자 |
대시보드, 쿼리, 알림, 주석, 주석 규칙, 장치 해상도를 관리할 수 있습니다. |
알림을 확인 및 관리하고 Forensics를 볼 수 있습니다. 사용자 역할은 알림 상태를 변경하고, 메모를 추가하고, 스냅샷을 수동으로 생성하고, 사용자 액세스 제한을 관리할 수 있습니다. |
모든 게스트/소비자 기능을 수행할 수 있을 뿐 아니라 보고서 및 대시보드를 생성 및 관리할 수 있습니다. |
게스트 |
자산 페이지, 대시보드, 알림에 대한 읽기 전용 액세스를 제공하며 쿼리를 보고 실행할 수 있습니다. |
알림 및 Forensics를 볼 수 있습니다. 게스트 역할은 알림 상태를 변경하거나, 메모를 추가하거나, 스냅샷을 수동으로 생성하거나, 사용자 액세스를 제한할 수 없습니다. |
에서는 보고서를 보고 일정을 잡고 실행할 수 있으며 언어 및 표준 시간대와 같은 개인 기본 설정을 설정할 수 있습니다. 게스트/소비자는 보고서를 만들거나 관리 작업을 수행할 수 없습니다. |
관리자 권한이 있는 사용자의 수를 제한하는 것이 가장 좋습니다. 최대 계정 수는 사용자 또는 게스트 계정이어야 합니다.
사용자 역할별 Cloud Insights 권한
다음 표에서는 각 사용자 역할에 부여된 Cloud Insights 권한을 보여 줍니다.
피처 |
관리자/계정 소유자 |
사용자 |
게스트 |
획득 단위: 추가/수정/삭제 |
예 |
해당 없음 |
해당 없음 |
경고 *: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
경고 *: 보기 |
예 |
예 |
예 |
주석 규칙: 생성/실행/수정/삭제 |
예 |
예 |
해당 없음 |
주석: 생성/수정/할당/보기/제거/삭제 |
예 |
예 |
해당 없음 |
API 액세스 *: 생성/이름 바꾸기/비활성화/해지 |
예 |
해당 없음 |
해당 없음 |
응용 프로그램: 생성/보기/수정/삭제 |
예 |
예 |
해당 없음 |
자산 페이지: 수정 |
예 |
예 |
해당 없음 |
자산 페이지: 보기 |
예 |
예 |
예 |
감사: 보기 |
예 |
해당 없음 |
해당 없음 |
클라우드 비용 |
예 |
해당 없음 |
해당 없음 |
보안 |
예 |
해당 없음 |
해당 없음 |
대시보드: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
대시보드: 보기 |
예 |
예 |
예 |
데이터 수집기: 추가/수정/폴링/삭제 |
예 |
해당 없음 |
해당 없음 |
알림: 보기 |
예 |
예 |
예 |
알림: 수정 |
예 |
해당 없음 |
해당 없음 |
쿼리: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
쿼리: 보기/실행 |
예 |
예 |
예 |
장치 해상도 |
예 |
예 |
해당 없음 |
보고서 *: 보기/실행 |
예 |
예 |
예 |
보고서 *: 생성/수정/삭제/일정 |
예 |
예 |
해당 없음 |
가입: 보기/수정 |
예 |
해당 없음 |
해당 없음 |
사용자 관리: 초대/추가/수정/비활성화 |
예 |
해당 없음 |
해당 없음 |
-
Premium Edition이 필요합니다
사용자를 초대하여 계정 만들기
Cloud Central을 통해 새 사용자 계정을 생성할 수 있습니다. 사용자가 이메일을 통해 보낸 초대에 응답할 수 있지만 Cloud Central 계정이 없는 경우 사용자는 초대를 수락할 수 있도록 Cloud Central에 등록해야 합니다.
-
사용자 이름은 초대의 전자 메일 주소입니다.
-
할당할 사용자 역할을 이해합니다.
-
암호는 등록 프로세스 중에 사용자가 정의합니다.
-
Cloud Insights에 로그인합니다
-
메뉴에서 * Admin > User Management * 를 클릭합니다
사용자 관리 화면이 표시됩니다. 화면에는 시스템의 모든 계정 목록이 표시됩니다.
-
사용자 * 를 클릭합니다
사용자 초대 * 화면이 표시됩니다.
-
이메일 주소 또는 여러 주소를 입력하여 초대를 보냅니다.
-
참고: * 여러 주소를 입력하면 모두 동일한 역할로 생성됩니다. 여러 명의 사용자만 동일한 역할로 설정할 수 있습니다.
-
-
Cloud Insights의 각 기능에 대한 사용자 역할을 선택합니다.
선택할 수 있는 기능 및 역할은 특정 관리자 역할에서 액세스할 수 있는 기능에 따라 다릅니다. 예를 들어 보고에만 관리자 역할이 있는 경우 사용자를 보고의 모든 역할에 할당할 수 있지만 관찰 가능성 또는 보안에 대한 역할을 할당할 수는 없습니다. 
-
초대 * 를 클릭합니다
초대가 사용자에게 전송됩니다. 사용자는 14일 내에 초대를 수락할 수 있습니다. 사용자가 초대를 수락하면 해당 사용자가 NetApp Cloud Portal로 이동하게 되며 초대장의 이메일 주소를 사용하여 등록하게 됩니다. 해당 이메일 주소에 대한 기존 계정이 있는 경우 로그인하기만 하면 Cloud Insights 환경에 액세스할 수 있습니다.
기존 사용자의 역할 수정
보조 계정 소유자 * 로 추가하는 등 기존 사용자의 역할을 수정하려면 다음 단계를 따르십시오.
-
관리자 > 사용자 관리 * 를 클릭합니다. 화면에 시스템의 모든 계정 목록이 표시됩니다.
-
변경할 계정의 사용자 이름을 클릭합니다.
-
필요에 따라 각 Cloud Insights 기능 세트에서 사용자의 역할을 수정합니다.
-
변경 내용 저장 _ 을(를) 클릭합니다.
보조 계정 소유자를 지정합니다
계정 소유자 역할을 다른 사용자에게 할당하려면 관찰 가능성의 계정 소유자로 로그인해야 합니다.
-
관리자 > 사용자 관리 * 를 클릭합니다.
-
변경할 계정의 사용자 이름을 클릭합니다.
-
사용자 대화 상자에서 * 소유자로 할당 * 을 클릭합니다.
-
변경 사항을 저장합니다.
계정 소유자는 원하는 만큼 많을 수 있지만 소유자 역할은 선택한 사용자만 하도록 제한하는 것이 가장 좋습니다.
사용자 삭제
관리자 역할을 가진 사용자는 사용자 이름을 클릭하고 대화 상자에서 _사용자 삭제_를 클릭하여 사용자(예: 더 이상 회사에 없는 사용자)를 삭제할 수 있습니다. 사용자가 Cloud Insights 환경에서 제거됩니다.
사용자가 만든 대시보드, 쿼리 등은 사용자가 제거된 후에도 Cloud Insights 환경에서 계속 사용할 수 있습니다.
SSO(Single Sign-On) 및 ID 페더레이션
Cloud Insights에서 SSO에 대한 ID 페더레이션을 사용하도록 설정합니다
ID 페더레이션 사용:
-
기업 디렉토리에서 고객의 자격 증명을 사용하여 고객의 ID 관리 시스템에 인증을 위임하고 MFA(Multi-Factor Authentication)와 같은 자동 인증 정책을 수행합니다.
-
사용자는 모든 NetApp Cloud Services에 한 번 로그인합니다(단일 사인온).
사용자 계정은 NetApp Cloud Central에서 모든 클라우드 서비스를 통해 관리됩니다. 기본적으로 인증은 Cloud Central 로컬 사용자 프로필을 사용하여 수행됩니다. 다음은 이 프로세스에 대한 간단한 개요입니다.
그러나 일부 고객은 자사 ID 공급자를 사용하여 Cloud Insights 및 다른 NetApp Cloud Central Services의 사용자를 인증하려고 합니다. NetApp Cloud Central 계정은 Identity Federation을 통해 회사 디렉터리의 자격 증명을 사용하여 인증됩니다.
다음은 이 프로세스의 간단한 예입니다.
위 다이어그램에서 사용자가 Cloud Insights에 액세스하면 해당 사용자는 인증을 위해 고객의 ID 관리 시스템으로 연결됩니다. 계정이 인증되면 사용자는 Cloud Insights 테넌트 URL로 연결됩니다.
Cloud Central은 Auth0을 사용하여 ID 페더레이션을 구현하고 ADFS(Active Directory Federation Services) 및 AD(Microsoft Azure Active Directory)와 같은 서비스와 통합됩니다. Identity Federation 설정 및 구성에 대한 자세한 내용은 의 Cloud Central 설명서를 참조하십시오 "ID 페더레이션".
Cloud Central에서 ID 페더레이션 변경이 Cloud Insights에만 적용되는 것이 아니라 모든 NetApp 클라우드 서비스에 적용된다는 점을 이해하는 것이 중요합니다. 고객은 자신이 소유한 각 Cloud Central 제품의 NetApp 팀과 이러한 변경 사항에 대해 논의하여 사용 중인 구성이 Identity Federation과 연동되는지 또는 어떤 계정에서도 조정이 필요한지 확인해야 합니다. 고객은 ID 페더레이션의 변경에 내부 SSO 팀을 참여시켜야 합니다.
ID 페더레이션이 활성화되면 회사의 ID 공급자에 대한 변경(예: SAML에서 Microsoft AD로 이동)이 발생할 경우 Cloud Central에서 사용자 프로필을 업데이트하기 위해 문제 해결/변경/주의가 필요할 수 있다는 점도 알아야 합니다.
SSO(Single Sign-On) 사용자 자동 프로비저닝
관리자는 사용자를 초대하는 것 외에도 기업 도메인의 모든 사용자가 개별적으로 초대하지 않고도 * SSO(Single Sign-On) 사용자 자동 프로비저닝 * 액세스를 Cloud Insights에 액세스할 수 있습니다. SSO를 사용하면 동일한 도메인 이메일 주소를 가진 모든 사용자가 회사 자격 증명을 사용하여 Cloud Insights에 로그인할 수 있습니다.
|
|
_SSO 사용자 자동 프로비저닝 _ 은(는) Cloud Insights 프리미엄 에디션에서 사용할 수 있으며 Cloud Insights에 대해 사용하려면 먼저 구성해야 합니다. SSO 사용자 자동 연결 구성에는 이 포함됩니다 "ID 페더레이션" 위 섹션에 설명된 대로 NetApp Cloud Central을 통해 페더레이션을 사용하면 SAML(Security Assertion Markup Language 2.0) 및 OIDC(OpenID Connect)와 같은 공개 표준을 사용하여 회사 디렉터리의 자격 증명을 사용하여 NetApp Cloud Central 계정에 액세스할 수 있습니다. |
SSO 사용자 자동 프로비저닝 _ 을(를) 구성하려면 * 관리 > 사용자 관리 * 페이지에서 * 페더레이션 요청 * 버튼을 클릭합니다. 구성이 완료되면 관리자는 SSO 사용자 로그인을 활성화할 수 있습니다. 관리자가 SSO 사용자 자동 프로비저닝 을(를) 사용하도록 설정할 경우, 모든 SSO 사용자(예: 게스트 또는 사용자)의 기본 역할을 선택합니다. SSO를 통해 로그인하는 사용자는 이 기본 역할을 갖게 됩니다.
관리자가 단일 사용자를 기본 SSO 역할(예: 관리자로 설정)에서 승격하려고 하는 경우가 있습니다. 사용자는 * Admin > User Management * 페이지에서 오른쪽 메뉴를 클릭하고 _Assign Role_을 선택하여 이 작업을 수행할 수 있습니다. 이러한 방식으로 명시적 역할이 할당된 사용자는 _ SSO 사용자 자동 프로비저닝 _ 이(가) 이후에 비활성화되더라도 계속해서 Cloud Insights에 액세스할 수 있습니다.
사용자에게 더 이상 상승된 역할이 필요하지 않으면 메뉴를 클릭하여 사용자 _ 제거 _ 를 수행할 수 있습니다. 사용자가 목록에서 제거됩니다. SSO 사용자 자동 프로비저닝 _ 이(가) 활성화된 경우 사용자는 기본 역할을 사용하여 SSO를 통해 Cloud Insights에 계속 로그인할 수 있습니다.
SSO 사용자 표시 * 확인란의 선택을 취소하여 SSO 사용자를 숨기도록 선택할 수 있습니다.
그러나 다음 중 하나에 해당하는 경우 _SSO 사용자 자동 프로비저닝_을 활성화하지 마십시오.
-
조직에 Cloud Insights 테넌트가 두 개 이상 있습니다
-
조직에서 통합 도메인의 모든 사용자가 Cloud Insights 테넌트에 대해 일정 수준의 자동 액세스를 갖는 것을 원하지 않습니다. _ 이 시점에는 _ 옵션을 사용하여 그룹을 사용하여 역할 액세스를 제어할 수 없습니다.
도메인별 액세스 제한
Cloud Insights는 사용자가 지정한 도메인에만 대한 사용자 액세스를 제한할 수 있습니다. 관리자 > 사용자 관리 * 페이지에서 "도메인 제한"을 선택합니다.
다음과 같은 선택 사항이 제시됩니다.
-
제한 없음: Cloud Insights는 도메인에 관계없이 사용자가 계속 액세스할 수 있습니다.
-
기본 도메인으로 액세스 제한: 기본 도메인은 Cloud Insights 환경 계정 소유자가 사용하는 도메인입니다. 이러한 도메인은 항상 액세스할 수 있습니다.
-
기본 및 지정한 도메인으로 액세스를 제한합니다. 기본 도메인 외에 Cloud Insights 환경에 액세스할 수 있는 모든 도메인을 나열합니다.
