Resource Access Management

Resource Access Management를 통해 클라우드 리소스를 보호하여 사용자 및 그룹에 대한 세분화된 접속 권한 정의

Alibaba Cloud RAM(Resource Access Management)은 사용자(직원, 시스템 또는 애플리케이션 포함)를 중앙에서 관리하고 권한 수준을 통해 리소스에 대한 접속을 안전하게 제어할 수 있는 ID 및 접속 제어 서비스입니다. 따라서 RAM을 사용하면 높은 권한을 가진 일부 사용자, 기업 직원 및 파트너에게만 Alibaba Cloud 리소스에 대한 접속 권한을 안전하게 부여할 수 있습니다. 이를 통해 클라우드 리소스의 안전하고 적절한 사용을 보장하고 계정에 대한 원치 않는 접속으로부터 보호할 수 있습니다.

혜택

향상된 보안
MFA(다단계 인증) 기술로 계정을 보호합니다.
유용성
웹 기반 Alibaba Cloud Management Console 또는 API를 사용하여 RAM에 간단히 접속하고 구성할 수 있습니다.
Alibaba Cloud 구독을 통한 무료 서비스
추가 비용을 지불하지 않고도 중앙 집중식 관리가 가능합니다. RAM 사용자가 사용하는 기타 서비스에 대해서만 비용을 지불하면 됩니다.
하나의 기업 계정에 속한 여러 계정에 있는 모든 사용자가 수행한 리소스 작업으로 인해 발생하는 모든 비용에 대해 하나의 통합 청구서를 제공합니다.
중앙 집중식 관리
RAM 사용자, 그룹 및 역할을 생성, 관리, 이름 변경 및 삭제하고 필요한 권한을 부여합니다.
Alibaba Cloud 리소스에 대한 접속 권한 및 ID 자격 증명의 통합 관리를 사용합니다.
필요에 따라 여러 리소스 또는 사용자 계정에서 권한을 취소합니다.

기능

  • ID 관리

    사용자 ID 관리

    기본 계정을 사용하여 사용자 ID를 생성 및 관리하고 권한을 부여합니다.


    MFA(다단계 인증)

    사용자 암호를 안전하게 유지하고 가상 호스트 종료와 같은 특별한 권한을 할당하기 위해 TOTP 프로토콜 표준(RFC 6238)을 준수하는 MFA 디바이스를 지원합니다.


    독립적인 암호 정책 관리

    사용자에 대한 맞춤형 암호 강도 정책을 만들고 허용된 로그온 시도 횟수, 암호 유효 기간 및 기타 암호 정책을 설정합니다.


    사용자 그룹

    여러 사용자에게 동일한 권한을 할당하도록 사용자 그룹을 생성하고 관리합니다.


    접속 키

    콘솔을 사용하여 작업을 수행하려는 사용자의 접속 키를 설정합니다. 프로그래밍 방식의 접속이 필요한 사용자를 위해 API 접속 키를 설정할 수도 있습니다.

  • SSO(Identity Federation)

    사용자 기반 SSO

    SAML 어설션에서 RAM 사용자를 지정하고 RAM 사용자를 이용하여 Alibaba Cloud에 접속하도록 IdP를 구성할 수 있습니다.


    역할 기반 SSO

    SAML 어설션에서 RAM 역할을 지정하고 RAM 역할을 이용하여 Alibaba Cloud에 접속하도록 IdP를 구성할 수 있습니다.

  • 접속 관리

    실행 권한

    특정 조건에서 특정 리소스에 대한 특정 작업의 실행을 허용하거나 거부할 수 있는 권한을 설정합니다.


    맞춤형 접속 관리

    맞춤형 정책을 사용하여 사용자 권한을 효과적으로 관리합니다.


    그룹 권한

    그룹 권한 메커니즘을 사용하면 시나리오별 접속 관리를 통해 권한 관리와 관련된 부담을 줄일 수 있습니다.


    사용자 접속 관리

    본인 계정 또는 다른 Alibaba Cloud 계정에 속한 사용자에게 사용자 또는 사용자 그룹 접속 권한을 부여합니다.

  • Security Token Service

    접속 권한

    Security Token Service는 모바일 클라이언트에 특정 클라우드 리소스 접속 권한을 부여하여 모바일 고객이 클라우드 리소스에 직접 접속할 수 있도록 합니다.


    맞춤형 유효성

    보안 강화를 위해 맞춤형 토큰 유효 기간을 지원합니다.

  • 높은 유연성

    세분화된 접속 관리

    단일 리소스에 대한 하나 이상의 작업에 대한 권한을 부여할 수 있습니다. 예를 들어 리소스 소유자는 리소스를 생성하여 작업을 수행하거나 삭제할 권한을 부여할 수 있습니다.


    다차원 접속 관리

    IP, 시간 및 기타 요인에 따라 접속 권한을 제한합니다.


    버전 관리 메커니즘

    원치 않게 정책이 삭제되는 리스크를 방지하기 위해 각 권한 부여 정책의 여러 버전을 유지합니다.

  • 사용 및 청구

    무료

    RAM은 추가 비용 없이 제공됩니다. RAM 사용자/역할이 사용하는 다른 Alibaba 제품/서비스에 대해서만 요금이 부과됩니다.


    통합 청구서

    계정에는 모든 RAM 사용자/역할이 수행한 리소스 작업으로 인해 발생하는 모든 비용에 대한 통합 청구서가 발급됩니다.

작동 원리

  • 기업 사용자 계정 관리 및 권한 부여
  • 모바일 앱에 대한 임시 접속 관리
  • 기업 간 리소스 운영 및 접속 관리
기업 사용자 계정 관리 및 권한 부여

기업 사용자 계정 관리 및 권한 부여

기업에는 ECS/RDS/SLB 인스턴스 및 OSS 버킷과 같은 여러 클라우드 리소스를 구매한 프로젝트가 있습니다. 책임과 권한이 서로 다른 직원은 다양한 작업을 수행해야 합니다. 권한이 있는 리소스 작업만 수행하도록 독립 사용자 또는 운영자 계정이 할당될 수 있습니다. 이러한 방식으로 기업은 보안을 손상시키지 않으며 언제든지 모든 사용자 계정에 대한 권한을 부여/취소할 수 있습니다. 또한 리소스 작업에 대한 비용은 기본 계정인 기업에 일괄적으로 청구됩니다.

이 시나리오에 권장되는 구성

  • RAM 사용자 계정 및 접속 관리 기능

장점

  • - 기본 계정을 MFA 디바이스에 바인딩하고 기본 계정 암호 공개로 인한 리스크를 방지하기 위해 기본 계정에 대한 MFA를 구성합니다.

  • - RAM을 활성화합니다.

  • - 다른 직원(또는 애플리케이션 시스템)에 대한 사용자 계정 및 RAM 사용자 계정을 만들고 로그온 암호를 설정하거나 필요에 따라 접속 키를 만듭니다.

  • - 동일한 책임을 가진 여러 직원에 대한 그룹을 만들고 그룹에 사용자를 추가합니다.

  • - 하나 이상의 정책을 그룹/사용자에 바인딩하여 맞춤형 정책을 생성하고 권한을 부여합니다.

모바일 앱에 대한 임시 접속 관리

모바일 앱에 대한 임시 접속 관리

기업은 모든 앱이 AppServer를 사용하여 데이터를 전송하는 것을 허용하지 않습니다. 그러나 모바일 앱은 모바일 디바이스에서 실행되며 이러한 디바이스를 제어하는 것은 불가능합니다. 기업은 또한 각 앱에 최소한의 권한으로 접속 토큰을 제공하고 접속 기간을 줄여 보안 리스크를 최소화하려고 합니다.

이 시나리오에 권장되는 구성

  • RAM STS 토큰

장점

  • - 접속 관리 프로세스를 완료하기 위해 기업은 역할을 만들고 정책과 바인딩하여 역할에 권한을 부여합니다.

  • - 기업은 AppServer용 RAM 사용자를 만들고 이 사용자에게 생성된 역할을 맡을 권한을 부여합니다.

  • - AppServer가 리소스 접속을 위해 STS 토큰을 발행합니다.

기업 간 리소스 운영 및 접속 관리

기업 간 리소스 운영 및 접속 관리

기업 A는 여러 클라우드 리소스를 구매하고 클라우드 리소스 O&M, 모니터링 관리 및 기타 작업을 기업 B에 부여했습니다. 기업 B는 A의 리소스에 대한 접속 권한을 한 명 이상의 직원에게 할당할 수 있습니다. B는 직원이 A의 리소스에 대해 수행할 수 있는 작업을 정확하게 제어해야 합니다. A는 O&M 위탁 계약이 철회되면 B의 권한을 임의로 취소해야 합니다.

이 시나리오에 제안되는 구성

  • 교차 계정 접속 관리를 위한 RAM 역할

장점

  • - 역할이 생성되고 교차 계정 접속 관리를 위한 권한이 부여됩니다.

  • - 하위 사용자를 생성하고 역할을 맡을 권한을 부여하여 콘솔을 통해 교차 계정 리소스에 접속할 수 있습니다.

FAQ

1. Alibaba Cloud RAM을 시작하려면 어떻게 하나요?

Alibaba Cloud에 가입하면 웹 기반 Alibaba Cloud Management Console 또는 RAM API(프로그래밍 방식 접속)를 사용하여 사용자 및 그룹을 생성하고 다른 리소스에 접속할 수 있는 권한을 할당할 수 있습니다.

2. 하위 사용자가 Alibaba Cloud Management Console에 로그인하려면 어떻게 하나요?

로그온 페이지를 방문하거나 Management Console 대시보드로 연결되는 링크를 참조하세요.

3. RAM 통합을 지원하는 Alibaba Cloud 제품 및 서비스에는 어떤 것이 있나요?

RAM을 지원하는 Alibaba Cloud 서비스 문서를 참조하세요.

4. RAM 역할이란 무엇인가요?

RAM 역할은 가상 사용자(섀도우 계정) 또는 RAM 사용자 유형입니다. 이 사용자는 고정된 ID를 가지며 정책을 부여받을 수 있습니다. 그러나 RAM 역할은 인증된 실제 사용자가 맡아야 합니다.

5. 신규 RAM 사용자에게 부여되는 작업 권한은 무엇인가요?

기본적으로 신규 RAM 사용자에게는 작업 권한이 없습니다. AM 사용자는 운영자를 나타내며 명시적으로 모든 작업을 수행할 권한이 있어야 합니다. 이 사용자는 권한이 부여된 후에만 ​​RAM 콘솔 또는 API를 통해 리소스 작업을 수행할 수 있습니다.

6. 정책이란 무엇인가요?

정책은 정책 언어를 사용하여 기술된 권한 그룹입니다. 이는 권한 부여 조건뿐만 아니라 권한 부여된 리소스 및 작업으르 정확하게 정의할 수 있습니다.

7. Alibaba Cloud에서 지원하는 모든 시스템 정책을 보려면 어떻게 하나요?

Alibaba Cloud에서 지원하는 모든 시스템 정책을 보려면 RAM 콘솔에 로그온하고 정책 페이지로 이동하여 모든 시스템 정책 목록을 확인하세요.

8. RoleARN이란 무엇인가요?

RoleARN은 역할을 지정하는 전역 리소스 설명자입니다. RoleARN은 Alibaba Cloud의 ARN 명명 규칙을 따릅니다.

예를 들어 Alibaba Cloud 계정의 "devops" 역할에 대한 RoleARN은 acs:ram::1234567890123456:role/devops입니다.

9. 여러 버전이 있는 정책을 삭제하려면 어떻게 하나요?

여러 번 편집하고 저장한 정책에는 여러 "버전"이 연결됩니다. RAM 콘솔에서 삭제되면 나머지 "기본" 정책을 삭제할 수 있습니다. 그러면 Alibaba Cloud 계정에서 정책이 완전히 제거됩니다.

10. 일반적으로 사용되는 권한을 할당하려면 어떻게 하나요?

Alibaba Cloud는 RAM 사용자, 그룹 및 역할에 연결할 수 있는 일반적으로 사용되는 권한인 시스템 정책을 제공합니다. 이러한 정책은 ECS에 대한 읽기 전용 권한이나 ECS에 대한 전체 권한과 같이 Alibaba Cloud에서 생성하여 관리하는 포괄적인 권한 그룹입니다. 이러한 정책은 사용할 수는 있지만 수정할 수는 없습니다.

11. 맞춤형 정책을 생성하려면 어떻게 하나요?

1. RAM 콘솔에 접속하고 정책을 선택합니다.
2. "정책 생성"을 클릭합니다.
3. 목록에서 템플릿을 선택합니다(예: AliyunOSSReadOnlyAccess).
4. 필요에 따라 정책의 이름, 설명 및 내용을 편집합니다.
5. 필요한 사항을 변경한 후 "확인"을 클릭하여 맞춤형 정책을 생성합니다.

12. 그룹에 정책을 연결하려면 어떻게 하나요?

1. RAM 콘솔에 로그온하고 ID > 그룹을 선택합니다.
2. 그룹을 선택하고 "권한 추가"를 클릭하여 권한 추가 페이지로 이동합니다.
3. 그룹에 권한을 부여할 관련 정책의 이름을 선택합니다.

13. 여러 RAM 사용자에게 동일한 권한을 할당하려면 어떻게 하나요?

RAM 그룹에 정책을 연결할 수 있습니다. 그룹의 모든 사용자에게 그룹과 관련된 권한이 부여됩니다.

14. RAM 사용자는 어떤 종류의 보안 자격 증명을 가질 수 있나요?

RAM 사용자는 API를 통해 또는 접속 키로 Alibaba Cloud Management 콘솔에 로그인하여 클라우드 서비스에 접속할 수 있습니다. 사용자 이름과 암호를 입력한 후 다른 확인 코드(사용자의 MFA 디바이스에서 제공하는 두 번째 보안 단계)가 필요한 MFA(다단계 인증)를 활성화할 수도 있습니다. 이는 계정에 대한 또 다른 보안 계층을 제공합니다.

더욱 업그레이드된 지원 제공

구매 전 1:1 상담, 연중무휴 24시간 기술 지원, 더욱 빠른 응대, 티켓 수 증가.

구매 전 1:1 상담

숙련된 클라우드 전문가에게 상담을 받을 수 있습니다. 자세히 알아보기

연중무휴 24시간 기술 지원

서비스 시간이 주당 10시간씩 5일에서 연중무휴 24시간으로 연장되었습니다. 자세히 알아보기

분기 당 무료 티켓 6장 제공

분기 당 제공되는 무료 티켓의 수가 3장에서 6장으로 두 배로 늘어났습니다. 자세히 알아보기

더욱 빠른 응대

구매 후 응대 시간을 36시간에서 18시간으로 단축했습니다. 자세히 알아보기