IAM 전용 역할
IAM 전용 역할은 IAM 구성 요소만을 제어하기 위해 제공되는 전용 역할 유형입니다. 일반적인 조직/프로젝트 역할과는 달리, 사용자, 그룹, 역할, 자격 증명 등의 IAM 구성 요소를 생성·수정·조회할 수 있습니다.
IAM 관리 영역 구분
IAM 전용 역할은 적용 범위에 따라 조직 단위 IAM 관리 영역과 프로젝트 단위 IAM 관리 영역으로 구분됩니다.
| 관리 영역 | 설명 |
|---|---|
| IAM 조직 | 조직 단위 IAM 리소스를 관리 - 사용자, 역할, 그룹, 프로젝트를 관리 - 접근 경로: ㄴ 카카오클라우드 콘솔 > Management > IAM |
| IAM 프로젝트 | 프로젝트 단위 IAM 리소스를 관리 - 프로젝트 구성원과 프로젝트 역할을 조회하거나 관리 - 접근 경로: ㄴ 카카오클라우드 콘솔 > 상단 "작업 중인 프로젝트" > [Project Management로 이동] 클릭 |
IAM 전용 역할 유형
IAM 전용 역할은 IAM 리소스를 독립적으로 제어할 수 있는 기능에 집중한 역할로, 일반적인 조직/프로젝트 역할과 함께 또는 별도로 활용됩니다.
보안이나 권한 분리를 위해 IAM 리소스만을 담당하는 운영 계정을 별도로 구성할 때 주로 사용됩니다.
최소 권한 원칙(Principle of Least Privilege) 에 따라, 사용자에게는 필수적인 권한만 포함된 역할을 선별적으로 부여하는 것이 권장됩니다.
하위 역할의 권한은 상위 역할에 포함되어 있으므로, 동일한 권한을 중복 부여할 필요는 없습니다.
다중 역할 부여는 각 역할의 권한 범위 또는 책임이 명확히 분리되어야 하는 경우에 한해 제한적으로 적용하는 것이 바람직합니다.
아래는 IAM 전용 역할의 적용 범위 및 주요 권한을 정리한 표입니다.
| 역할 이름 | 적용 범위 | 권한 설명 | 포함하는 하위 역할 |
|---|---|---|---|
| IAM 조직 관리자 (Admin) | IAM 조직 (IAM) | 사용자, 그룹, 프로젝트, 로그인 설정 등 IAM 리소스 전체 관리 | IAM 조직 뷰어 |
| IAM 조직 뷰어 (Viewer) | IAM 조직 (IAM) | IAM 리소스 조회 전용 (설정 변경 불가) | - |
| IAM 프로젝트 관리자 (Admin) | IAM 프로젝트 (Project Managment) | 프로젝트 사용자 역할, 그룹 권한, 서비스 계정 관리 | IAM 프로젝트 뷰어 |
| IAM 프로젝트 뷰어 (Viewer) | IAM 프로젝트 (Project Managment) | 프로젝트 단위 IAM 리소스 조회 전용 | - |
관리 영역별 세부 권한 비교
IAM 전용 역할은 조직 단위와 프로젝트 단위로 세분화된 권한을 제공합니다.
아래 표를 통해 각 역할별 권한 범위를 확인할 수 있습니다.
조직 관리자, 조직 리더, 프로젝트 관리자 등 조직 또는 프로젝트 단위의 역할을 통해서도 IAM 리소스를 관리할 수 있습니다.
IAM 조직
IAM 조직에서 부여할 수 있는 역할과 권한은 다음과 같습니다.
| 기능/역할 | IAM 조직 관리자 (Admin) | IAM 조직 뷰어 (Viewer) | 조직 관리자 (Admin) | 조직 리더 (Reader) |
|---|---|---|---|---|
| 프로젝트 생성, 삭제, 수정 | ✓ | ✓ | ||
| 프로젝트 상세 정보 조회 | ✓ | ✓ | ✓ | ✓ |
| 사용자 초대, 삭제, 역할 편집 | ✓ | ✓ | ||
| 사용자 상세 정보 조회 | ✓ | ✓ | ✓ | ✓ |
| IAM 역할 정보 조회 | ✓ | ✓ | ✓ | ✓ |
| 그룹 생성, 삭제, 역할 편집 | ✓ | ✓ | ||
| 그룹 상세 정보 조회 | ✓ | ✓ | ✓ | ✓ |
| 자격 증명 데이터 조회 | ✓ | ✓ | ✓ | ✓ |
| 조직 관리 설정 (로그인 설정, 보안 설정) | ✓ | ✓ | ||
| 조직 관리 정보 조회 (로그인 설정, 보안 설정) | ✓ | ✓ | ✓ | ✓ |
IAM 프로젝트
IAM 프로젝트에서 부여할 수 있는 역할과 권한은 다음과 같습니다.
| 기능/역할 | IAM 프로젝트 관리자 (Admin) | IAM 프로젝트 뷰어 (Viewer) | 프로젝트 관리자 (Admin) | 프로젝트 멤버 (Member) | 프로젝트 리더 (Reader) |
|---|---|---|---|---|---|
| 프로젝트 사용자 역할 할당, 제거, 수정 | ✓ | ✓ | |||
| 프로젝트 사용자 및 역할 목록 조회 | ✓ | ✓ | ✓ | ||
| 그룹 역할 할당, 제거, 편집 | ✓ | ✓ | |||
| 그룹 역할 정보 조회 | ✓ | ✓ | ✓ | ||
| 서비스 계정 생성, 삭제, 자격 증명 관리 | ✓ | ✓ | |||
| 서비스 계정 조회, 자격 증명 조회 | ✓ | ✓ | ✓ | ||
| 서비스 에이전트 조회 | ✓ | ✓ | ✓ |
역할 조합의 활용
카카오클라우드의 IAM은 조직 역할, 프로젝트 역할, IAM 전용 역할을 조합하여 다양한 시나리오에 맞는 권한 구성이 가능합니다. 아래는 IAM 전용 역할이 포함된 주요 역할 조합과 권한 범위입니다.
| 역할 조합 | 설명 |
|---|---|
| IAM 조직 관리자 + 프로젝트 관리자 | IAM 사용자, 그룹, 프로젝트 등 전체 관리 + 프로젝트 리소스 운영 가능 - 조직 보안 관리자 또는 전체 운영 책임자에 적합 |
| IAM 조직 뷰어 + 조직 리더 | IAM 전체 설정을 조회 가능 + 조직 내 사용자 및 프로젝트 현황 확인 - 보안 감사 관리자에 적합 |
| IAM 프로젝트 관리자 + 프로젝트 멤버 | IAM 권한 관리 기능 + 일부 서비스 리소스 운영 가능 - 서비스별 책임자 또는 개발 운영 자동화 계정에 유용 |
| IAM 프로젝트 뷰어 + 프로젝트 리더 | IAM 리소스 조회 + 프로젝트 리소스 전체 조회 - 보안 감사 대응 또는 리소스 변경 없이 모니터링만 하는 계정에 적합 |
| IAM 프로젝트 뷰어 + 프로젝트 멤버 | IAM 설정은 조회 전용 + 일부 리소스 운영 권한 보유 - IAM 상태 확인이 필요한 서비스 담당자에게 적합 |