18장. 사용자 액세스 관리
18.1. Red Hat Advanced Cluster Security for Kubernetes에서 RBAC 관리
RHACS(Red Hat Advanced Cluster Security for Kubernetes)에는 역할을 구성하고 다양한 사용자를 위해 Red Hat Advanced Cluster Security에 대한 다양한 수준의 액세스 권한을 부여하는 데 사용할 수 있는 RBAC(역할 기반 액세스 제어)가 제공됩니다.
버전 3.63부터 RHACS에는 지정된 RHACS 사용자 또는 사용자 그룹이 액세스할 수 있는 리소스 및 수행할 수 있는 작업과 수행할 수 있는 작업을 정의하는 세분화되고 특정 권한 세트를 구성할 수 있는 범위가 지정된 액세스 제어 기능이 포함되어 있습니다.
역할은 권한 세트 및 액세스 범위 컬렉션입니다. 규칙을 지정하여 사용자 및 그룹에 역할을 할당할 수 있습니다. 인증 공급자를 구성할 때 이러한 규칙을 구성할 수 있습니다. Red Hat Advanced Cluster Security for Kubernetes에는 다음 두 가지 유형의 역할이 있습니다.
- Red Hat에서 생성하고 변경할 수 없는 시스템 역할.
사용자 지정 역할 - Kubernetes용 Red Hat Advanced Cluster Security는 언제든지 생성 및 변경할 수 있습니다.
참고- 사용자에게 여러 역할을 할당하면 할당된 역할의 결합된 권한에 액세스할 수 있습니다.
- 사용자 지정 역할에 할당된 사용자가 있고 해당 역할을 삭제하면 연결된 모든 사용자가 구성한 최소 액세스 역할로 전송합니다.
권한 세트는 지정된 리소스에서 역할이 수행할 수 있는 작업을 정의하는 권한 집합입니다. 리소스는 보기(
읽기) 및 수정(쓰기) 권한을 설정할 수 있는 Red Hat Advanced Cluster Security for Kubernetes의 기능입니다. Red Hat Advanced Cluster Security for Kubernetes에는 다음 두 가지 유형의 권한 세트가 있습니다.- Red Hat에서 생성하며 변경할 수 없는 시스템 권한 세트입니다.
- 사용자 지정 권한 세트 - Kubernetes용 Red Hat Advanced Cluster Security는 언제든지 생성 및 변경할 수 있습니다.
액세스 범위는 사용자가 액세스할 수 있는 Kubernetes 및 OpenShift Container Platform 리소스 집합입니다. 예를 들어 사용자가 지정된 프로젝트의 Pod에 대한 정보에만 액세스할 수 있는 액세스 범위를 정의할 수 있습니다. Red Hat Advanced Cluster Security for Kubernetes에는 다음 두 가지 유형의 액세스 범위가 있습니다.
- 시스템 액세스 범위(Red Hat에서 생성하며 변경할 수 없음).
- 사용자 지정 액세스 범위 - Kubernetes용 Red Hat Advanced Cluster Security는 언제든지 생성 및 변경할 수 있습니다.
18.1.1. 시스템 역할
RHACS(Red Hat Advanced Cluster Security for Kubernetes)에는 규칙을 생성할 때 사용자에게 적용할 수 있는 몇 가지 기본 시스템 역할이 포함되어 있습니다. 필요에 따라 사용자 지정 역할을 생성할 수도 있습니다.
| 시스템 역할 | 설명 |
|---|---|
| 관리자 | 이 역할은 관리자를 대상으로 합니다. 이를 사용하여 모든 리소스에 대한 읽기 및 쓰기 액세스 권한을 제공합니다. |
| Anances | 이 역할은 변경할 수 없지만 모든 것을 볼 수 있는 사용자를 대상으로 합니다. 이를 사용하여 모든 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. |
| 지속적 통합 | 이 역할은 CI(지속적인 통합) 시스템을 대상으로 하며 배포 정책을 적용하는 데 필요한 권한 세트를 포함합니다. |
| 네트워크 그래프 뷰어 | 이 역할은 네트워크 그래프를 확인해야 하는 사용자를 대상으로 합니다. |
| 없음 | 이 역할에는 리소스에 대한 읽기 및 쓰기 액세스 권한이 없습니다. 이 역할을 모든 사용자의 최소 액세스 역할로 설정할 수 있습니다. |
| 센서 작성자 | RHACS는 이 역할을 사용하여 새 클러스터 설정을 자동화합니다. 보안 클러스터에서 센서를 생성하는 권한 세트가 포함되어 있습니다. |
| 취약점 관리 승인 | 이 역할을 사용하면 취약점 지연 또는 잘못된 긍정 요청을 승인할 수 있는 액세스 권한을 제공할 수 있습니다. |
| Vulnerability Management Requester | 이 역할을 사용하면 취약점 지연 또는 잘못된 알림을 요청할 수 있는 액세스 권한을 제공할 수 있습니다. |
| Vulnerability Report Creator | 이 역할을 사용하면 예약된 취약점 보고서에 대한 취약점 보고 구성을 생성하고 관리할 수 있습니다. |
18.1.1.1. 시스템 역할의 권한 세트 및 액세스 범위 보기
기본 시스템 역할에 대한 권한 세트 및 액세스 범위를 볼 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 역할을 선택합니다.
- 역할 중 하나를 클릭하여 세부 정보를 확인합니다. 세부 정보 페이지에는 감지된 역할의 권한 세트 및 액세스 범위가 표시됩니다.
기본 시스템 역할에 대한 권한 세트 및 액세스 범위를 수정할 수 없습니다.
18.1.1.2. 사용자 정의 역할 생성
액세스 제어 보기에서 새 역할을 생성할 수 있습니다.
사전 요구 사항
-
사용자 지정 역할을 생성, 수정, 삭제하려면
Access리소스에 대한 Admin 역할 또는 읽기 및 쓰기 권한이 있어야 합니다. - 역할을 생성하기 전에 사용자 지정 역할에 대한 권한 세트 및 액세스 범위를 생성해야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 역할을 선택합니다.
- 역할 생성을 클릭합니다.
- 새 역할에 대한 이름 및 설명을 입력합니다.
- 역할에 대해 Permission set 을 선택합니다.
- 역할의 액세스 범위를 선택합니다.
- 저장을 클릭합니다.
추가 리소스
18.1.1.3. 사용자 또는 그룹에 역할 할당
RHACS 포털을 사용하여 사용자 또는 그룹에 역할을 할당할 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 인증 공급자 목록에서 인증 공급자를 선택합니다.
- 최소 역할 및 규칙 편집을 클릭합니다.
- 규칙 섹션에서 새 규칙 추가 를 클릭합니다.
-
키 의 경우
userid,name,email또는group의 값 중 하나를 선택합니다. - 값 의 경우 선택한 키에 따라 사용자 ID, 이름, 이메일 주소 또는 그룹 값을 입력합니다.
- Role 드롭다운 메뉴를 클릭하고 할당할 역할을 선택합니다.
- 저장을 클릭합니다.
각 사용자 또는 그룹에 대해 이러한 지침을 반복하고 다른 역할을 할당할 수 있습니다.
18.1.2. 시스템 권한 세트
Red Hat Advanced Cluster Security for Kubernetes에는 역할에 적용할 수 있는 몇 가지 기본 시스템 권한 세트가 포함되어 있습니다. 필요에 따라 사용자 정의 권한 세트를 생성할 수도 있습니다.
| 권한 세트 | 설명 |
|---|---|
| 관리자 | 모든 리소스에 대한 읽기 및 쓰기 액세스를 제공합니다. |
| Anances | 모든 리소스에 대한 읽기 전용 액세스를 제공합니다. |
| 지속적 통합 | 이 권한 세트는 CI(종속 통합) 시스템을 대상으로 하며 배포 정책을 적용하는 데 필요한 권한을 포함합니다. |
| 네트워크 그래프 뷰어 | 네트워크 그래프를 볼 수 있는 최소 권한을 제공합니다. |
| 없음 | 모든 리소스에 대해 읽기 및 쓰기 권한이 허용되지 않습니다. |
| 센서 작성자 | 보안 클러스터에서 센서를 생성하는 데 필요한 리소스에 대한 권한을 제공합니다. |
18.1.2.1. 시스템 권한 세트에 대한 권한 보기
RHACS 포털에서 설정된 시스템 권한의 권한을 볼 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 권한 세트를 선택합니다.
- 세부 정보를 보려면 권한 세트 중 하나를 클릭합니다. 세부 정보 페이지에는 리소스 목록과 선택한 권한 집합에 대한 권한이 표시됩니다.
시스템 권한 세트에 대한 권한을 수정할 수 없습니다.
18.1.2.2. 사용자 정의 권한 세트 생성
액세스 제어 보기에서 새 권한 세트를 만들 수 있습니다.
사전 요구 사항
-
권한 세트를 생성, 수정 및 삭제하려면
Access리소스에 대한 Admin 역할 또는 읽기 및 쓰기 권한이 있어야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 권한 세트를 선택합니다.
- Create permission set 을 클릭합니다.
- 새 권한 세트에 대한 이름 및 설명을 입력합니다.
각 리소스에 대해 액세스 수준 열에서 액세스 권한
없음, 읽기 액세스또는읽기 및 쓰기 액세스주의사용자에 대한 권한 세트를 구성하는 경우 다음 리소스에 대한 읽기 전용 권한을 부여해야 합니다.
-
경고 -
Cluster -
Deployment -
이미지 -
NetworkPolicy -
NetworkGraph -
WorkflowAdministration -
Secret
-
- 이러한 권한은 새 권한 세트를 생성할 때 미리 선택됩니다.
- 이러한 권한을 부여하지 않으면 사용자는 RHACS 포털에서 페이지를 보는 데 문제가 발생합니다.
- 저장을 클릭합니다.
18.1.3. 시스템 액세스 범위
Red Hat Advanced Cluster Security for Kubernetes에는 역할에 적용할 수 있는 몇 가지 기본 시스템 액세스 범위가 포함되어 있습니다. 필요에 따라 사용자 지정 액세스 범위를 생성할 수도 있습니다.
| 가속 범위 | 설명 |
|---|---|
| 무제한 | Red Hat Advanced Cluster Security for Kubernetes가 모니터링하는 모든 클러스터 및 네임스페이스에 대한 액세스를 제공합니다. |
| 모두 거부 | Kubernetes 및 OpenShift Container Platform 리소스에 대한 액세스 권한이 없습니다. |
18.1.3.1. 시스템 액세스 범위에 대한 세부 정보 보기
RHACS 포털에서 액세스 범위에 허용되거나 허용되지 않는 Kubernetes 및 OpenShift Container Platform 리소스를 볼 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 액세스 범위를 선택합니다.
- 액세스 범위 중 하나를 클릭하여 세부 정보를 확인합니다. 세부 정보 페이지에는 클러스터 및 네임스페이스 목록과 선택한 액세스 범위에 허용되는 항목이 표시됩니다.
시스템 액세스 범위에 대해 허용된 리소스를 수정할 수 없습니다.
18.1.3.2. 사용자 정의 액세스 범위 생성
액세스 제어 보기에서 새 액세스 범위를 만들 수 있습니다.
사전 요구 사항
-
권한 세트를 생성, 수정, 삭제할 수 있도록
AuthProvider및Role리소스에 대해 읽기 및 쓰기 권한이 설정된 Admin 역할 또는 역할이 있어야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어 로 이동합니다. - 액세스 범위를 선택합니다.
- 액세스 범위 생성을 클릭합니다.
- 새 액세스 범위에 대한 이름 및 설명을 입력합니다.
허용된 리소스 섹션에서 다음을 수행합니다.
- Cluster filter 및 Namespace filter 필드를 사용하여 목록에 표시된 클러스터 및 네임스페이스 목록을 필터링합니다.
- 클러스터 이름을 확장하여 해당 클러스터의 네임스페이스 목록을 확인합니다.
클러스터의 모든 네임스페이스에 액세스할 수 있도록 하려면 수동 선택 열에서 스위치를 전환합니다.
참고특정 클러스터에 대한 액세스 권한을 통해 사용자는 클러스터 범위 내에서 다음 리소스에 액세스할 수 있습니다.
- OpenShift Container Platform 또는 Kubernetes 클러스터 메타데이터 및 보안 정보
- 권한 있는 클러스터에 대한 규정 준수 정보
- 노드 메타데이터 및 보안 정보
- 해당 클러스터의 모든 네임스페이스 및 관련 보안 정보에 대한 액세스
네임스페이스에 대한 액세스를 허용하려면 네임스페이스의 수동 선택 열에서 스위치를 전환합니다.
참고특정 네임스페이스에 대한 액세스는 네임스페이스 범위 내에서 다음 정보에 액세스할 수 있습니다.
- 배포에 대한 경고 및 위반
- 이미지에 대한 취약점 데이터
- 배포 메타데이터 및 보안 정보
- 역할 및 사용자 정보
- 배포에 대한 네트워크 그래프, 정책 및 기준 정보
- 정보 및 프로세스 기준 구성 처리
- 각 배포에 대한 우선 순위가 지정된 위험 정보
- 라벨을 기반으로 클러스터 및 네임스페이스에 대한 액세스를 허용하려면 라벨 선택 규칙 섹션에서 라벨 선택기 추가 를 클릭합니다. 그런 다음 규칙 추가 를 클릭하여 라벨 선택기에 대한 키 및 값 쌍을 지정합니다. 클러스터 및 네임스페이스에 대한 라벨을 지정할 수 있습니다.
- 저장을 클릭합니다.
18.1.4. 리소스 정의
Red Hat Advanced Cluster Security for Kubernetes에는 많은 리소스가 포함되어 있습니다. 다음 표에는 Red Hat Advanced Cluster Security for Kubernetes 리소스가 나열되어 있으며 사용자가 읽기 또는 쓰기 권한으로 수행할 수 있는 작업을 설명합니다.
-
권한 에스컬레이션을 방지하기 위해 새 토큰을 생성할 때 역할의 권한은 해당 토큰에 할당할 수 있는 권한을 제한합니다. 예를 들어 Integration 리소스에 대한
읽기권한만 있는 경우쓰기권한이 있는 토큰을 생성할 수 없습니다. - 다른 사용자가 사용할 토큰을 생성하는 사용자 지정 역할을 하려면 해당 사용자 지정 역할에 필요한 권한을 할당해야 합니다.
-
CI/CD 파이프라인, 스크립트 및 기타 자동화와 같은 머신 간 통신에 수명이 짧은 토큰을 사용합니다. 또한
roxctlCLI 또는 API 액세스와 같은 human-to-machine 통신에roxctl central login명령을 사용합니다.
| 리소스 | 읽기 권한 | 쓰기 권한 |
|---|---|---|
| 액세스 | 인증 공급자가 제공하는 메타데이터를 포함하여 Red Hat Advanced Cluster Security for Kubernetes 역할 및 사용자 메타데이터와 일치하는 SSO(Single Sign-On) 및 RBAC(역할 기반 액세스 제어) 규칙에 대한 구성을 확인합니다. | SSO 구성 및 구성된 RBAC 규칙을 생성, 수정 또는 삭제합니다. |
| 관리 | 다음 항목을 확인합니다.
| 다음 항목을 편집합니다.
|
| 경고 | 기존 정책 위반을 확인합니다. | 정책 위반을 해결하거나 편집합니다. |
| CVE | 내부 사용 전용 | 내부 사용 전용 |
| Cluster | 기존 보안 클러스터를 확인합니다. | 새 보안 클러스터를 추가하고 기존 클러스터를 수정하거나 삭제합니다. |
| 규정 준수 | 규정 준수 표준 및 결과, 최근 규정 준수 실행 및 관련 완료 상태를 확인합니다. | 규정 준수 실행을 트리거합니다. |
| Deployment | 보안 클러스터에서 배포(워크로드)를 확인합니다. | 해당 없음 |
| DeploymentExtension | 다음 항목을 확인합니다.
| 다음 항목을 수정합니다.
|
| 탐지 | 이미지 또는 배포 YAML에 대한 빌드 시간 정책을 확인합니다. | 해당 없음 |
| 이미지 | 이미지, 해당 구성 요소 및 해당 취약점을 확인합니다. | 해당 없음 |
| Integration | 백업, 레지스트리, 이미지 서명, 알림 시스템, API 토큰을 포함한 통합 및 해당 구성을 확인합니다. | 통합 및 해당 구성과 API 토큰을 추가, 수정 및 삭제합니다. |
| K8sRole | 보안 클러스터에서 Kubernetes RBAC의 역할을 확인합니다. | 해당 없음 |
| K8sRoleBinding | 보안 클러스터에서 Kubernetes RBAC의 역할 바인딩을 확인합니다. | 해당 없음 |
| K8sSubject | 보안 클러스터에서 Kubernetes RBAC의 사용자 및 그룹을 확인합니다. | 해당 없음 |
| 네임스페이스 | 보안 클러스터에서 기존 Kubernetes 네임스페이스를 확인합니다. | 해당 없음 |
| NetworkGraph | 보안 클러스터에서 활성 및 허용된 네트워크 연결을 확인합니다. | 해당 없음 |
| NetworkPolicy | 보안 클러스터에서 기존 네트워크 정책을 보고 변경 사항을 시뮬레이션합니다. | 보안 클러스터에서 네트워크 정책 변경 사항을 적용합니다. |
| 노드 | 보안 클러스터에서 기존 Kubernetes 노드를 확인합니다. | 해당 없음 |
| WorkflowAdministration | 모든 리소스 컬렉션을 확인합니다. | 리소스 컬렉션을 추가, 수정 또는 삭제합니다. |
| Role | 기존 Red Hat Advanced Cluster Security for Kubernetes RBAC 역할 및 해당 권한을 확인합니다. | 역할 및 해당 권한을 추가, 수정 또는 삭제합니다. |
| Secret | 보안 클러스터의 보안에 대한 메타데이터를 확인합니다. | 해당 없음 |
| ServiceAccount | 보안 클러스터에 Kubernetes 서비스 계정을 나열합니다. | 해당 없음 |
| VulnerabilityManagementApprovals | 취약점에 대한 보류 중인 모든 deferral 또는 false positive 요청을 확인합니다. | 보류 중인 deferral 또는 false positive 요청을 승인하거나 거부하고 이전에 승인된 요청을 다시 관찰하도록 이동합니다. |
| VulnerabilityManagementRequests | 취약점에 대한 보류 중인 모든 deferral 또는 false positive 요청을 확인합니다. | 취약점을 지연하거나 잘못된 것으로 표시하거나 동일한 사용자가 수행한 보류 중이거나 이전에 승인한 요청을 다시 관찰하도록 이동합니다. |
| WatchedImage | 배포되지 않은 감시 및 모니터링된 이미지를 확인합니다. | 감시된 이미지를 구성합니다. |
| WorkflowAdministration | 모든 리소스 컬렉션을 확인합니다. | 리소스 컬렉션을 생성, 수정 또는 삭제합니다. |
18.1.5. 인증 및 권한 부여 리소스에 대한 선언적 구성
인증 공급자, 역할, 권한 세트 및 액세스 범위와 같은 인증 및 권한 부여 리소스에 선언적 구성을 사용할 수 있습니다. 선언적 구성을 사용하는 방법에 대한 자세한 내용은 "추가 리소스" 섹션의 " 선언적 구성 사용"을 참조하십시오.
추가 리소스
