서브 계정 생성, 비밀번호 설정, 그룹 지정만으로 간단하게 서브 계정을 등록 및 관리할 수 있습니다. 서브 계정에 대한 일시 정지, 해지, 비밀번호 관리 또한 손쉽게 가능합니다. 서브 계정이 로그인할 수 있는 접속 URL을 따로 제공하며, 서브 계정이 부여 받은 로그인 아이디와 비밀번호를 통해 로그인할 수 있어 보안을 향상시킬 수 있습니다.
관리형 정책을 활용하여 인프라 관리자, 재무 관리자 등 기본적인 업무 단위의 권한을 부여할 수 있습니다. 뿐만 아니라 서브 계정이 수행할 수 있는 작업 권한을 세부 액션 및 리소스, 속성 단위로 사용자 정의 정책을 설정하여 권한을 부여할 수 있습니다. 이를 통해 각자 역할에 맞는 세분화된 권한을 부여해 접근을 제어할 수 있습니다.
역할(Role)은 정책(Policy)으로 이루어진 임시 자격 증명입니다 기존의 정책(Policy)가 서브 계정에만 부여할 수 있는 영구 임시 증명이라면 역할(Role)은 계정뿐만 아니라 Server, 계정 등 리소스 자체에 권한을 부여할 수 있는 영구 임시 자격 증명입니다.
서브 계정의 권한을 속성(Attribute) 기반으로 정의하여 접근 권한을 제어할 수 있습니다. 고정된 리소스에 역할을 통해 권한을 부여하는 RBAC(Role Based Access Control) 대신 '태그'로 통칭되는 속성에 기반한 ABAC(Attribute Based Access Control)을 사용함으로써 유연하고 세밀한 접근 권한 관리가 가능합니다.
인프라 관리자, 서버 관리자, 재무 관리자, 각 상품 관리자 등 '관리형 정책'을 통해 기본적인 업무 단위에 대한 권한 부여가 가능하며 사용자가 여러 권한을 조합하여 '사용자 정의 정책'을 정의하여 서브 계정 또는 그룹에 부여할 수 있습니다. 이는 전자금융감독규정 제 13조(전산자료 보호대책) 내 "전산 자료의 입력/출력/열람을 함에 있어 사용자의 업무별로 접근권한을 통제할 것"이라는 요건과 금융분야 클라우드 서비스 가이드 제 4장 "'계획 수집 3. 안정성 확보 조치 방안 수립' 내 각 관리자 및 이용자에 대한 개별 계정 생성 및 기능과 역할에 따라 그룹을 구분하여 적절한 권한을 그룹별로 할당하여 관리할 것"이라는 요건을 충족할 수 있습니다.
콘솔 및 API Gateway 접근 권한을 부여 받은 서브 계정은 기본적으로 2차 인증이 설정되어 Email 또는 SMS를 통해 인증번호 확인 작업을 거치게 됩니다. 이를 통해 서브 계정 및 리소스에 대한 보안을 더욱 강화할 수 있습니다.
서브 계정으로 구성된 그룹 자체에 권한을 부여할 수 있습니다. 이를 통해 유형에 맞게 서브 계정들을 그룹화 할 수 있으며 그룹을 대상으로 권한 부여를 일괄적으로 할 수 있습니다. 예를 들어 관제 팀에 새로운 직원이 들어왔을 경우 이미 권한이 설정되어있는 관제 팀 그룹에 새로운 직원의 서브 계정만 추가하여 체계적으로 서브 계정에 대한 권한을 관리할 수 있습니다.
비밀번호 만료 기능을 활성화하면 서브 계정의 비밀번호 만료일이 설정한 비밀번호 만료일을 초과했을 때 비밀번호를 변경하도록 강제할 수 있습니다.
Secure Token Service (STS)를 사용하여 네이버 클라우드 플랫폼 내 리소스로의 액세스를 제어할 수 있는 임시 Access Key를 생성할 수 있습니다. 임시 Access Key는 기간 제한이 없는 서브 계정의 Access Key와 달리 제한된 기간 동안만 유효하며 MFA 등 추가 인증 수단을 적용할 수 있습니다. 기간 제한이 없는 Access Key가 외부에 유출되면 보안에 위험할 수 있기 때문에 임시로 권한을 부여할 때 유용합니다.
역할(Role)이란 정책(Policy)으로 구성되어 있으며 서브 계정뿐만 아니라 Server 등 다양한 주체에게 부여할 수 있는 임시 자격 증명입니다. 현재 제공 중인 역할 유형은 Server Role, Account Role입니다. Server Role은 VPC 기반 Server 리소스에만 할당할 수 있으며, 역할이 할당된 Server에서는 자격 증명을 위한 별도의 Access Key를 저장하지 않아도 네이버 클라우드 플랫폼 내 서비스 및 리소스에 접근할 수 있습니다. Account Role은 서브계정에게 메인계정의 포털/콘솔에 접근 가능한 권한을 할당할 수 있으며, 역할이 할당된 서브계정은 역할 전환을 통해 대상 계정의 리소스에 접근할 수 있습니다.
서브 계정 또는 리소스에 정의된 속성을 기반으로 접근 권한을 설정할 수 있습니다. 정책(Policy)에 컨디션을 부여함으로써, 컨디션에 설정된 조건 키의 '키:값' 속성과 권한 체크 대상의 '키:값' 속성을 비교하여 일치하는 경우에만 작업을 허용하도록 설정할 수 있습니다. 이러한 속성들을 '태그'로 통칭하며 네이버 클라우드 플랫폼에서 생성되는 리소스에 태그를 연결하여 접근 권한을 관리할 수 있습니다. 기존 RBAC이 새 리소스가 생성될 때 마다 액세스 권한을 부여하기 위해 기존 정책을 업데이트해야 했다면, ABAC은 새 리소스에 태그만 부여해주면 정책 수행이 가능해진다는 장점이 있습니다.