주요 개념
카카오클라우드 IAM은 역할 기반 접근 제어(Role Based Access Control, RBAC) 방식을 사용하여, 미리 정의된 역할을 기반으로 사용자, 조직, 프로젝트의 권한을 제어합니다.
리소스
리소스는 프로젝트에 생성할 수 있는 인스턴스, 스토리지, 네트워크 등의 컴퓨팅 자원이나 카카오클라우드에서 제공하는 서비스를 추상화한 단위입니다.
카카오클라우드 리소스 계층 구조
항목 | 설명 |
---|---|
조직 | 카카오클라우드 계층 구조에서 최상위 개념으로 프로젝트, 사용자 등을 하나의 조직으로 구성할 수 있는 추상화된 공간 |
프로젝트 | 서비스 레벨의 리소스를 소유하는 상위 단위 - 반드시 특정 조직에 소속되어야 함 - 자원 할당량은 프로젝트 단위로 설정됨 - 사용자는 자원에 접근하기 위해 프로젝트 레벨 역할을 획득해야 함 |
서비스 | 카카오클라우드에서 제공하는 개별 상품 - 서비스 내 모든 자원은 프로젝트 하위에 생성되어 관리 - 예시: VM, VPC, Object Storage 등 |
IAM 레벨
카카오클라우드의 IAM 레벨은 조직과 프로젝트 단위로 구분됩니다.
구분 | 설명 |
---|---|
조직 레벨 IAM | 조직을 관리하는 IAM 서비스 - 사용자, 역할, 그룹, 프로젝트를 관리 - 조직 레벨 IAM 서비스로 이동하는 방법: ㄴ 카카오클라우드 콘솔 > IAM > 조직 |
프로젝트 레벨 IAM | 프로젝트별로 관리하는 IAM 서비스 - 프로젝트 구성원과 프로젝트 역할을 조회하거나 관리 - 프로젝트 레벨 IAM 서비스로 이동하는 방법: ㄴ 카카오클라우드 콘솔 > IAM > 프로젝트 |
사용자
사용자는 카카오클라우드 콘솔에 로그인할 수 있는 계정 단위입니다. 사용자는 특정 프로젝트 구성원이면서 동시에 그룹 구성원일 수 있습니다.
항목 | 설명 |
---|---|
사용자 | 콘솔에 로그인할 수 있는 카카오클라우드 계정 단위 - 카카오클라우드 콘솔 및 API 모두 이용 가능 - 소속된 조직 내에서 고유해야 함 |
프로젝트 구성원 | 특정 프로젝트에서 프로젝트 레벨 역할(프로젝트 관리자, 프로젝트 멤버, 프로젝트 리더)을 가진 사용자 - 프로젝트 레벨 역할을 획득해야만 해당 프로젝트 리소스에 접근 가능 |
그룹 구성원 | 특정 그룹에 소속된 사용자 - 그룹 구성원은 그룹 권한에 따라 역할 획득 - 그룹이 삭제되거나 그룹 구성원에서 삭제될 경우 즉시 그룹 권한 회수 - 자세한 설명은 하단의 그룹 참고 |
그룹
그룹은 특정 역할을 함께 공유하는 사용자들로 구성된 집합입니다. 그룹 구성원인 사용자에게 그룹 권한을 일괄로 추가하거나 삭제하여 IAM 역할을 간편하게 관리할 수 있습니다. 그룹 권한을 추가하면 그룹 구성원에게 해당 IAM 역할이 부여되며, 권한을 삭제하면 역할이 즉시 회수됩니다. 단, 사용자에게 직접 추가한 역할은 그대로 유지됩니다.
그룹 관리에 대한 자세한 내용은 그룹 생성 및 관리 문서를 참고하시기 바랍니다.
그룹 구조
- 그룹에 여러 사용자를 추가할 수 있으며, 사용자는 여러 그룹에 포함될 수 있습니다.
- 그룹에는 사용자만 추가할 수 있으며, 서비스 계정은 추가할 수 없습니다.
- 그룹은 다른 그룹을 포함할 수 없습니다.
- 그룹을 삭제하거나 그룹 구성원을 내보내는 경우, 자동으로 부여받은 그룹 권한도 즉시 회수됩니다.
- 그룹을 삭제하거나 그룹 구성원을 내보내는 경우, 해당 그룹 구성원의 API 인증 토큰은 즉시 만료됩니다. 단, 별도로 할당된 그룹 권한이 없는 경우는 해당하지 않습니다.
서비스 계정
서비스 계정은 사용자가 직접 생성하는 계정으로, 실제 IAM 사용자 계정은 아니며 카카오클라우드 API 호출에 필요한 인증 토큰을 발급할 수 있는 계정입니다.
프로젝트 구성원들이 서비스 계정 API 인증 토큰으로 API를 호출하여, 카카오클라우드 서비스의 리소스에 접근하거나 이를 제어하기 위한 계정입니다.
서비스 계정의 아이디 형식은 {직접 입력}-프로젝트 이름@kc.serviceaccount.com
입니다. 서비스 계정은 프로젝트 레벨 IAM에 속하며, 프로젝트 멤버 역할이 자동으로 부여됩니다. 단, 서비스 계정은 카카오클라우드의 사용자 계정이 아니기 때문에, 해당 계정으로 콘솔에 로그인할 수 없으며 조직 사용자 목록에서 조회되지 않습니다.
서비스 계정 생성 및 관리에 대한 자세한 설명은 서비스 계정 관리 참고하시기 바랍니다.
항목 | 설명 |
---|---|
서비스 계정 | 카카오클라우드 API 호출에 필요한 인증 토큰을 발급할 수 있는 계정 - 사용자가 직접 생성하는 계정으로, 실제 IAM 사용자 계정은 아님 - 아이디 형식: {직접 입력}-프로젝트 이름@kc.serviceaccount.com |
API 인증 토큰
서비스 계정에 생성한 액세스 키와 보안 액세스 키를 사용하여 API 인증 토큰을 발급할 수 있습니다. 액세스 키와 보안 액세스 키 관리에 대한 자세한 내용은 서비스 계정 관리를 참고하시기 바랍니다.
서비스 계정 할당량
서비스 계정은 비활성화 상태의 계정을 포함해 프로젝트 당 최대 100개까지 생성할 수 있습니다. 서비스 계정 액세스 키는 서비스 계정 당 최대 10개까지 추가할 수 있습니다. 단, 서비스 계정은 할당량에 포함되지 않습니다.