출발지 기반 접근 제어 정책 생성 및 관리
출발지 기반 접근 제어 정책은 특정 출발지 IP CIDR 대역에 대해 카카오클라우드 서비스 호스트 접근을 제어하는 기능입니다.
조직 단위로 정책을 관리할 수 있으며, 허용된 출발지에서만 서비스 호스트 접근이 가능하도록 설정할 수 있습니다.
출발지 기반 접근 제어 정책은 IAM 콘솔에서 생성 및 관리할 수 있습니다.
시작하기 전에
출발지 기반 접근 제어 정책을 사용하기 위해 다음 사항을 확인하세요.
- 조직 관리자(Admin) 또는 IAM 조직 관리자 권한이 필요합니다.
- 접근 제어 대상 서비스 호스트 정보를 확인하세요.
- 허용할 출발지 IP CIDR 정보를 준비하세요.
- 정책 활성화 시 허용되지 않은 출발지에서는 서비스 접근이 제한될 수 있습니다.
출발지 기반 접근 제어 정책은 조직 단위로 적용됩니다.
출발지 기반 접근 제어 모드
출발지 기반 접근 제어는 조직 단위로 동작하며, 접근 제어 정책 적용 방식을 모드로 관리할 수 있습니다.
출발지 기반 접근 제어 모드는 다음 3가지 상태를 지원합니다.
| 모드 | 설명 |
|---|---|
| 비활성 | 정책과 관계없이 모든 요청을 허용합니다. |
| 검증 | 정책을 실제 적용하지 않고 요청 결과만 Cloud Trail에 기록합니다. |
| 시행 | 정책에 맞지 않는 요청을 차단합니다. |
출발지 기반 접근 제어 모드 변경 시 즉시 조직 전체에 적용됩니다.
비활성 모드
비활성 모드에서는 출발지 기반 접근 제어 정책이 적용되지 않습니다.
- 모든 요청을 허용합니다.
- 정책 검증 및 차단을 수행하지 않습니다.
- 정책 테스트 이전 단계에서 사용할 수 있습니다.
검증 모드
검증 모드에서는 정책을 실제 차단에 적용하지 않고 요청 결과를 Cloud Trail에 기록합니다.
- 실제 요청은 차단되지 않습니다.
- 정책 적용 시 차단 대상이 될 요청을 사전에 확인할 수 있습니다.
- 운영 환경 적용 전 정책 영향도를 검증할 수 있습니다.
검증 모드를 통해 실제 서비스 영향 없이 출발지 기반 접근 제어 정책 동작 여부를 확인할 수 있습니다.
시행 모드
시행 모드에서는 출발지 기반 접근 제어 정책이 실제 요청에 적용됩니다.
- 정책에 허용되지 않은 요청은 차단됩니다.
- 조직 전체 호스트 접근에 영향을 줄 수 있습니다.
- 시행 전 검증 모드를 통해 충분한 테스트를 수행하는 것을 권장합니다.
시행 모드에서는 현재 로그인한 사용자의 IP에서 IAM 호스트 접근을 허용하는 정책이 1개 이상 설정되어 있어야 합니다.
정책이 올바르게 설정되지 않은 경우 콘솔 접근이 제한될 수 있습니다.
검증 또는 시행 모드에서는 적용 상태의 출발지 기반 접근 제어 정책이 최소 1개 이상 필요합니다.
적용 상태의 정책이 없는 경우 검증 또는 시행 모드로 변경할 수 없습니다.
출발지 기반 접근 제어 모드 변경
출발지 기반 접근 제어 모드는 IAM 콘솔에서 변경할 수 있습니다.
- 카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
- 우측 상단의 [출발지 기반 접근 제어 모드 변경] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 모드 변경 팝업창에서 모드별 안내 사항을 확인합니다.
- 원하는 모드를 선택한 후 [저장] 버튼을 클릭합니다.
출발지 기반 접근 제어 정책 생성
출발지 기반 접근 제어 정책은 출발지 정보와 접근 대상 호스트를 기반으로 생성합니다.
외부 IdP와 연동된 계정은 카카오클라우드 사용자로 등록이 제한될 수 있습니다.
- 카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
- [출발지 기반 접근 제어 정책 생성] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 정책 생성 페이지에서 정보를 입력하고, [생성] 버튼을 클릭합니다.
| 항목 | 설명 |
|---|---|
| 이름 | 정책을 식별할 수 있는 이름 |
| 적용 상태 | 정책 적용 여부(적용 또는 제외) |
| 출발지 | 허용할 IP CIDR 대역 |
| 호스트 접근 범위 | 접근할 호스트의 범위 선택 전체 호스트: 현재 제공중인 대상 호스트 목록과 향후 추가될 모든 호스트에 접근 허용 선택한 호스트: 대상 호스트 목록에서 원하는 호스트를 선택하여 접근 허용 |
| 대상 호스트 목록 | 출발지 기반 접근 제어 정책 적용이 가능한 호스트 목록 |
CIDR 입력 시 IPv4 CIDR 형식만 지원합니다.
예시:
- 10.0.0.1/32
- 10.0.0.0/24
출발지 기반 접근 제어 정책 반영 시간
출발지 기반 접근 제어 정책을 생성, 수정, 삭제하거나 정책 상태를 변경한 경우, 변경 사항이 각 서비스 호스트에 반영되기까지 시간이 소요될 수 있습니다.
서비스별 API 구조나 캐시 정책에 따라 정책 변경 직후에는 일시적으로 기존 정책 기준으로 요청이 허용되거나 차단될 수 있습니다. 변경 사항은 일정 시간이 지난 후 완전히 반영됩니다.
정책 변경 사항이 완전히 반영되기까지 최대 5분 정도 소요될 수 있습니다.
접근 제한 및 권한 확인
출발지 기반 접근 제어 정책이 적용된 환경에서는 사용자 권한 또는 출발지 기반 접근 제어 정책에 따라 서비스 접근이 제한될 수 있습니다.
접근이 제한된 경우 콘솔에서는 리소스 조회 또는 생성, 수정 등의 작업 수행 시 조회 권한이 없습니다.와 같은 메시지가 표시될 수 있습니다.
현재 콘솔 및 API 호출 시 다음 상황을 구분하여 표시하지 않습니다.
- IAM 권한이 필요한 경우
- 출발지 기반 접근 제어 정책에 의해 차단된 경우
따라서 서비스 접근이 제한되는 경우 사용자 권한과 출발지 기반 접근 제어 정책 허용 여부를 함께 확인해야 합니다.
프로젝트 레벨 리소스 접근 제한
프로젝트 레벨 리소스 접근이 제한되는 경우 다음 관리자에게 문의하세요.
| 확인 항목 | 문의 대상 |
|---|---|
| 프로젝트 권한 확인 | 프로젝트 관리자 또는 IAM 프로젝트 관리자 |
| 출발지 기반 접근 제어 정책 확인 | 조직 관리자 또는 IAM 조직 관리자 |
조직 레벨 리소스 접근 제한
조직 레벨 리소스 접근이 제한되는 경우 다음 관리자에게 문의하세요.
| 확인 항목 | 문의 대상 |
|---|---|
| 조직 권한 확인 | 조직 관리자 또는 IAM 조직 관리자 |
| 출발지 기반 접근 제어 정책 확인 | 조직 관리자 또는 IAM 조직 관리자 |
출발지 기반 접근 제어 정책 관리
출발지 기반 접근 제어 정책 조회
현재 등록된 출발지 기반 접근 제어 정책 목록을 조회할 수 있습니다.
-
카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
-
출발지 기반 접근 제어 정책 페이지에서 현재 등록된 출발지 기반 접근 제어 정책 목록을 확인합니다.
구분 설명 이름 출발지 기반 접근 제어 정책 생성 또는 수정 시 입력한 정책 이름 ID 출발지 기반 접근 제어 정책의 고유 식별자 출발지 접근을 허용할 출발지 IP CIDR 정보 호스트 접근 범위 접근할 호스트의 범위
전체 호스트: 현재 제공중인 대상 호스트 목록과 향후 추가될 모든 호스트에 접근 허용
선택한 호스트: 대상 호스트 목록에서 원하는 호스트를 선택하여 접근 허용대상 수 출발지 기반 접근 제어 정책이 적용되는 대상 호스트 수 적용 상태 정책 적용 여부(적용 또는 제외) 생성 일시 출발지 기반 접근 제어 정책이 생성된 일시 [⋮] 버튼 개별 출발지 기반 접근 제어 정책의 정보 변경, 수정, 복제 또는 삭제
출발지 기반 접근 제어 정책 상세
출발지 기반 접근 제어 정책의 상세 정보를 확인할 수 있습니다.
-
카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
-
출발지 기반 접근 제어 정책 목록에서 상세 정보를 확인할 정책을 선택합니다.
-
출발지 기반 접근 제어 정책 상세 페이지에서 정보를 확인합니다.
구분 설명 세부 정보 출발지 기반 접근 정책 이름, ID, 출발지, 호스트 접근 범위, 적용 상태, 생성일시 등의 기본 정보 대상 출발지 기반 접근 제어 대상 목록
접속 환경:Public또는Private
호스트 유형:OpenAPI또는기본
서비스: 호출 대상인 서비스 이름
호스트: 접근이 제어되는 호스트 정보
출발지 기반 접근 제어 정책 정보 변경
생성한 출발지 기반 접근 제어 정책의 이름과 적용 상태를 변경할 수 있습니다.
- 카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
- 출발지 기반 접근 제어 정책 페이지에서 정보를 변경할 정책을 선택합니다.
- 목록 또는 출발지 기반 접근 제어 정책 상세 페이지에서 [정보 변경] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 정책 정보 변경 안내를 확인하고 [계속] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 정책 정보 변경 팝업창에서 정보를 변경하고 [저장] 버튼을 클릭합니다.
출발지 기반 접근 제어 정책 대상 수정
생성한 출발지 기반 접근 제어 정책의 대상을 수정할 수 있습니다.
- 카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
- 출발지 기반 접근 제어 정책 페이지에서 대상을 수정할 정책을 선택합니다.
- 목록 또는 출발지 기반 접근 제어 정책 상세 페이지에서 [대상 수정] 버튼을 클릭합니다.
- 대상 수정 팝업창에서 출발지, 호스트 접근 범위, 대상 호스트를 수정하고 [수정] 버튼을 클릭합니다.
출발지 기반 접근 제어 정책 수정 후 접근 가능 대상이 변경될 수 있으므로 서비스 영향도를 확인한 뒤 수정하세요.
출발지 기반 접근 제어 정책 복제
기존 정책 정보를 기반으로 새로운 출발지 기반 접근 제어 정책을 생성할 수 있습니다.
-
카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
-
출발지 기반 접근 제어 정책 페이지에서 복제할 정책을 선택합니다.
-
목록 또는 출발지 기반 접근 제어 정책 상세 페이지에서 [복제] 버튼을 클릭합니다.
-
출발지 기반 접근 제어 정책 복제 팝업창에서 정보를 확인하고 [복제] 버튼을 클릭합니다.
-
출발지 기반 접근 제어 정책 생성 팝업창에서 정보를 입력하고 [생성] 버튼을 클릭합니다.
항목 설명 이름 정책을 식별할 수 있는 이름 적용 상태 정책 적용 여부(적용 또는 제외) 출발지 허용할 IP CIDR 대역 호스트 접근 범위 접근할 호스트의 범위 선택
전체 호스트: 현재 제공중인 대상 호스트 목록과 향후 추가될 모든 호스트에 접근 허용
선택한 호스트: 대상 호스트 목록에서 원하는 호스트를 선택하여 접근 허용대상 호스트 목록 출발지 기반 접근 제어 정책 적용이 가능한 호스트 목록
출발지 기반 접근 제어 정책 삭제
더 이상 사용하지 않는 정책을 삭제할 수 있습니다.
한번 삭제한 출발지 기반 접근 제어 정책은 복구 불가하므로, 삭제 시 유의하시기 바랍니다.
- 카카오클라우드 콘솔 > Management > IAM > 출발지 기반 접근 제어 정책 메뉴로 이동합니다.
- 출발지 기반 접근 제어 정책 페이지에서 삭제할 정책을 선택합니다.
- 목록 또는 출발지 기반 접근 제어 정책 상세 페이지에서 [삭제] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 정책 삭제 안내를 확인하고 [계속] 버튼을 클릭합니다.
- 출발지 기반 접근 제어 정책 삭제 팝업창에서
영구 삭제를 입력하고 [삭제] 버튼을 클릭합니다.
지원 대상 호스트 유형
출발지 기반 접근 제어는 다음 호스트 유형을 지원합니다.
| 호스트 유형 | 설명 |
|---|---|
| 기본 | 서비스 고유의 호스트로 요청을 직접 전달하는 방식 |
| OpenAPI | 공통 OpenAPI 게이트웨이를 통해 서비스로 요청을 전달하는 방식 |
Cloud Trail 연계
검증 모드에서는 정책 적용 결과가 Cloud Trail 이벤트로 기록됩니다.
Cloud Trail 이벤트를 통해 다음 정보를 확인할 수 있습니다.
- 요청 출발지 IP
- 요청 대상 엔드포인트
- 정책 허용 여부
- 정책 적용 결과
- 요청 사용자 정보
관련 이벤트는 Cloud Trail 서비스에서 조회할 수 있습니다.
정책 생성 시 유의사항
- 동일한 출발지와 대상 조합의 정책은 중복 생성할 수 없습니다.
- 출발지 기반 접근 정책 모드 활성화 시 허용되지 않은 출발지 접근은 차단됩니다.
- 정책 적용 후 실제 접근 가능 여부를 반드시 테스트하세요.