NetApp Console ID 및 액세스 관리에 대해 알아보세요
변경 제안
PDF
NetApp 콘솔의 ID 및 액세스 관리(IAM)를 사용하여 NetApp 리소스를 구성하고 위치, 부서 또는 프로젝트와 같은 비즈니스 구조에 따라 액세스를 제어하십시오.
리소스는 계층적으로 구성됩니다. 최상위에는 조직이 있고, 그 아래에 폴더(다른 폴더나 프로젝트를 포함할 수 있음)가 있으며, 그 아래에는 스토리지 시스템, 워크로드 및 에이전트를 포함하는 프로젝트가 있습니다.
조직, 폴더 또는 프로젝트 수준에서 구성원에게 역할 기반 접근 제어(RBAC) 권한을 할당하여 사용자가 리소스에 대한 적절한 접근 권한을 갖도록 합니다.
|
NetApp Console 에서 IAM을 관리하려면 슈퍼 관리자, 조직 관리자 또는 폴더 또는 프로젝트 관리자 역할이 있어야 합니다. |
다음 이미지는 기본적인 수준의 계층 구조를 보여줍니다.
]
신원 및 접근 관리 구성 요소
NetApp Console 에서는 조직 구성 요소, 리소스 구성 요소 및 사용자 액세스 구성 요소라는 세 가지 주요 구성 요소를 사용하여 스토리지 리소스를 구성합니다.
조직 내 프로젝트 및 폴더
IAM 구조 내에서 조직, 프로젝트 및 폴더라는 세 가지 구성 요소를 사용합니다. 이러한 레벨 중 하나에서 사용자에게 역할을 할당하여 액세스 권한을 부여할 수 있습니다.
- 조직
-
_조직_은 콘솔 IAM 시스템의 최상위 수준이며 일반적으로 회사를 나타냅니다. 조직은 폴더, 프로젝트, 구성원, 역할 및 리소스로 구성됩니다. 에이전트는 조직 내의 특정 프로젝트와 연관되어 있습니다.
- 프로젝트
-
프로젝트는 스토리지 리소스에 대한 접근 권한을 제공하는 데 사용됩니다. 리소스에 접근하려면 먼저 해당 리소스가 프로젝트에 할당되어야 합니다. 하나의 프로젝트에 여러 리소스를 할당할 수 있으며, 여러 개의 프로젝트를 생성할 수도 있습니다. 그런 다음 사용자에게 프로젝트 권한을 할당하여 프로젝트 내 리소스에 대한 접근 권한을 부여합니다.
예를 들어, 필요에 따라 온프레미스 ONTAP 시스템을 단일 프로젝트 또는 조직 내 모든 프로젝트와 연결할 수 있습니다.
- 폴더
-
관련 프로젝트를 위치, 사이트 또는 사업부별로 정리하려면 폴더로 그룹화하세요. 리소스를 폴더에 직접 연결할 수는 없지만, 폴더 수준에서 사용자에게 역할을 할당하면 해당 폴더에 있는 모든 프로젝트에 대한 액세스 권한을 부여할 수 있습니다.
리소스
리소스에는 스토리지 시스템, Keystone 구독 및 콘솔 에이전트가 포함됩니다.
+ 리소스에 접근하려면 먼저 해당 리소스를 프로젝트와 연결해야 합니다.
+
예를 들어, Cloud Volumes ONTAP 시스템을 특정 프로젝트 또는 조직 내 모든 프로젝트와 연결할 수 있습니다. 리소스를 연결하는 방법은 조직의 요구 사항에 따라 다릅니다.
+
- 스토리지 시스템 및 Keystone 구독
-
스토리지 시스템은 NetApp Console 에서 관리하는 주요 리소스입니다. NetApp Console 온프레미스 및 클라우드 스토리지 시스템 모두의 관리를 지원합니다. 프로젝트에 스토리지 시스템을 추가해야만 다른 사용자가 접근할 수 있습니다.
저장 시스템은 추가되는 프로젝트에 자동으로 연결되지만, 리소스 페이지에서 다른 프로젝트나 폴더와도 연결할 수 있습니다.
Keystone 구독은 NetApp Console 에서 사용자가 구독에 액세스할 수 있도록 프로젝트와 연결할 수 있는 리소스이기도 합니다.
- 콘솔 에이전트
-
조직 관리자는 스토리지 시스템을 관리하고 NetApp 데이터 서비스를 활성화하기 위해 콘솔 에이전트를 생성합니다. 에이전트는 처음에 생성된 프로젝트에 연결되지만, 관리자는 에이전트 페이지에서 다른 프로젝트나 폴더에 에이전트를 추가할 수 있습니다.
에이전트를 프로젝트와 연결하면 해당 프로젝트의 리소스를 관리할 수 있으며, 에이전트를 폴더와 연결하면 폴더 또는 프로젝트 관리자가 어떤 프로젝트에서 해당 에이전트를 사용할지 결정할 수 있습니다. 에이전트는 관리 기능을 제공하기 위해 특정 프로젝트와 연결되어야 합니다.
구성원 및 역할
- 회원들
-
조직의 구성원은 사용자 계정 또는 서비스 계정입니다. 서비스 계정은 일반적으로 애플리케이션에서 사람의 개입 없이 지정된 작업을 완료하는 데 사용됩니다.
NetApp Console 에 가입한 구성원을 조직에 추가해야 합니다. 추가한 후에는 역할을 할당하여 리소스에 대한 액세스 권한을 부여할 수 있습니다. 콘솔 내에서 수동으로 서비스 계정을 추가하거나 NetApp Console IAM API를 통해 생성 및 관리를 자동화할 수 있습니다.
- 액세스 역할
-
콘솔은 조직의 구성원에게 할당할 수 있는 액세스 역할을 제공합니다.
구성원에게 역할을 연결할 때, 해당 역할을 조직 전체, 특정 폴더 또는 특정 프로젝트에 대해 부여할 수 있습니다. 선택한 역할은 해당 계층 구조의 선택한 부분에 있는 리소스에 대한 권한을 구성원에게 부여합니다.
NetApp Console "최소 권한" 원칙을 준수하는 세분화된 역할을 제공합니다. 즉, 액세스 역할은 사용자가 필요한 기능에만 접근할 수 있도록 설계되었습니다.
이는 사용자의 업무 범위가 확장됨에 따라 여러 역할을 부여받을 수 있음을 의미합니다.
IAM 전략 사례
소규모 조직 전략
사용자 수가 50명 미만이고 스토리지 관리가 중앙 집중식으로 이루어지는 조직의 경우, 슈퍼 관리자 및 슈퍼 뷰어 역할을 사용하는 간소화된 접근 방식을 고려해 보세요.
예시: ABC 회사 (5인 팀)
-
구조: 3개의 프로젝트(운영, 개발, 백업)를 보유한 단일 조직
-
역할:
-
2명의 고위 멤버: 완전한 관리자 권한을 가진 슈퍼 관리자 역할
-
팀 구성원 3명: 수정 권한 없이 모니터링만 가능한 슈퍼 뷰어 역할
-
-
에이전트 전략: 모든 프로젝트에 연결된 단일 에이전트를 사용하여 공유 리소스에 액세스합니다.
-
장점: 관리 간소화, 역할 복잡성 감소, 광범위한 접근 권한이 필요한 팀에 적합
다지역 기업 전략
지역별 운영 및 전문 팀을 보유한 대규모 조직의 경우, 지리적 또는 사업부 경계를 나타내는 폴더를 사용하는 계층적 접근 방식을 구현하십시오.
예시: XYZ 주식회사(다국적 기업)
-
구조: 조직 > 지역별 폴더(북미, 유럽, 아시아 태평양) > 지역별 프로젝트 폴더
-
플랫폼 역할:
-
1. 조직 관리: 글로벌 총괄 및 정책 관리
-
3 폴더 또는 프로젝트 관리자: 지역별 관리 (지역당 1명)
-
1. 연합 관리: 기업 ID 공급자 통합
-
-
지역별 스토리지 역할:
-
9 스토리지 관리자: 지정된 지역의 스토리지 시스템을 검색하고 관리합니다.
-
2. 스토리지 뷰어: 여러 지역의 스토리지 리소스를 모니터링합니다.
-
1. 시스템 상태 전문가: 시스템 수정 없이 스토리지 상태를 관리합니다.
-
-
데이터 서비스 역할:
-
백업 및 복구 관리자: 백업 책임 범위에 따라 프로젝트별로 책정됩니다.
-
랜섬웨어 복원력 관리자: 프로젝트 전반에 걸친 보안 팀 모니터링
-
-
에이전트 전략: 해당 지역 프로젝트에 적합한 지역 에이전트를 배정합니다.
-
장점: 역할 분리, 지역 자율성 및 현지 규정 준수를 통한 보안 강화
학과별 전문화 전략
특정 데이터 서비스 접근 권한이 필요한 전문 팀을 보유한 조직의 경우, 기능적 책임에 기반한 맞춤형 역할 할당을 활용하십시오.
예시: TechCorp (중견 기술 기업)
-
구조: 조직 > 부서 폴더(IT, 보안, 개발) > 프로젝트별 리소스
-
전문적인 역할:
-
보안팀: 랜섬웨어 복원력 관리자 및 분류 보기 담당자 역할
-
백업 팀: 포괄적인 백업 작업을 위한 백업 및 복구 최고 관리자
-
개발팀: 테스트 환경 관리를 위한 저장소 관리자
-
규정 준수 팀: 모니터링 및 지원 사례 관리를 담당할 운영 지원 분석가
-
-
에이전트 전략: 리소스 소유권을 기반으로 부서 프로젝트에 에이전트를 연결합니다.
-
장점: 맞춤형 접근 제어, 운영 효율성 향상, 전문 업무에 대한 명확한 책임 소재 규명