인프라 관리자, 서버 관리자, 재무 관리자, 각 상품 관리자 등 '관리형 정책'을 통해 기본적인 업무 단위에 대한 권한 부여가 가능하며 사용자가 여러 권한을 조합하여 '사용자 정의 정책'을 정의하여 서브 계정 또는 그룹에 부여할 수 있습니다. 이는 전자금융감독규정 제 13조(전산자료 보호대책) 내 "전산 자료의 입력/출력/열람을 함에 있어 사용자의 업무별로 접근권한을 통제할 것"이라는 요건과 금융분야 클라우드 서비스 가이드 제 4장 "'계획 수집 3. 안정성 확보 조치 방안 수립' 내 각 관리자 및 이용자에 대한 개별 계정 생성 및 기능과 역할에 따라 그룹을 구분하여 적절한 권한을 그룹별로 할당하여 관리할 것"이라는 요건을 충족할 수 있습니다.
콘솔 및 API Gateway 접근 권한을 부여 받은 서브 계정은 기본적으로 2차 인증이 설정되어 Email 또는 SMS를 통해 인증번호 확인 작업을 거치게 됩니다. 이를 통해 서브 계정 및 리소스에 대한 보안을 더욱 강화할 수 있습니다.
서브 계정으로 구성된 그룹 자체에 권한을 부여할 수 있습니다. 이를 통해 유형에 맞게 서브 계정들을 그룹화 할 수 있으며 그룹을 대상으로 권한 부여를 일괄적으로 할 수 있습니다. 예를 들어 관제 팀에 새로운 직원이 들어왔을 경우 이미 권한이 설정되어있는 관제 팀 그룹에 새로운 직원의 서브 계정만 추가하여 체계적으로 서브 계정에 대한 권한을 관리할 수 있습니다.
비밀번호 만료 기능을 활성화하면 서브 계정의 비밀번호 만료일이 설정한 비밀번호 만료일을 초과했을 때 비밀번호를 변경하도록 강제할 수 있습니다.
Secure Token Service (STS)를 사용하여 네이버 클라우드 플랫폼 내 리소스로의 액세스를 제어할 수 있는 임시 Access Key를 생성할 수 있습니다. 임시 Access Key는 기간 제한이 없는 서브 계정의 Access Key와 달리 제한된 기간 동안만 유효하며 MFA 등 추가 인증 수단을 적용할 수 있습니다. 기간 제한이 없는 Access Key가 외부에 유출되면 보안에 위험할 수 있기 때문에 임시로 권한을 부여할 때 유용합니다.
역할(Role)이란 정책(Policy)으로 구성되어 있으며 서브 계정뿐만 아니라 Server 등 다양한 주체에게 부여할 수 있는 임시 자격 증명입니다. 현재 제공 중인 역할 유형은 Server Role, Account Role, Service Role 입니다. Server Role은 VPC 기반 Server 리소스에만 할당할 수 있으며, 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다. Account Role은 서브계정에게 메인계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있으며, 역할이 할당된 서브계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다. Service Role은 서비스에 사용자를 대신하여 작업을 수행할 수 있도록 권한을 할당할 수 있으며, 서비스에서 타 서비스 리소스로의 액세스 필요 시 활용할 수 있습니다.
서브 계정 또는 리소스에 정의된 속성을 기반으로 접근 권한을 설정할 수 있습니다. 정책(Policy)에 컨디션을 부여함으로써, 컨디션에 설정된 조건 키의 '키:값' 속성과 권한 체크 대상의 '키:값' 속성을 비교하여 일치하는 경우에만 작업을 허용하도록 설정할 수 있습니다. 이러한 속성들을 '태그'로 통칭하며 네이버 클라우드 플랫폼에서 생성되는 리소스에 태그를 연결하여 접근 권한을 관리할 수 있습니다. 기존 RBAC이 새 리소스가 생성될 때 마다 액세스 권한을 부여하기 위해 기존 정책을 업데이트해야 했다면, ABAC은 새 리소스에 태그만 부여해주면 정책 수행이 가능해진다는 장점이 있습니다.