2.4. 2일차 작업

관리자는 플랫폼 게이트웨이에 빌드된 RBAC( 역할 기반 액세스 제어 )를 사용하여 서버 인벤토리, 조직 등에 대한 액세스를 위임할 수 있습니다. 또한 관리자는 다양한 인증 정보 관리를 중앙 집중화하여 최종 사용자가 해당 시크릿을 최종 사용자에게 노출하지 않고도 필요한 시크릿을 사용할 수 있습니다. RBAC 제어를 통해 Ansible Automation Platform은 보안을 강화하고 관리를 간소화할 수 있습니다.

RBAC는 사용자 또는 팀에 역할을 부여하는 방식에 해당합니다. RBAC는 특정 기능이 설정되는 "오브젝트"를 보거나 변경하거나 삭제할 수 있는 사람 또는 대상을 정확하게 정의하는 역할 측면에서 생각하는 것이 가장 쉽습니다.

Ansible Automation Platform의 RBAC 설계(역할, 리소스 및 사용자)와 관련하여 숙지해야 하는 몇 가지 주요 개념이 있습니다. 사용자는 역할의 멤버일 수 있으므로 해당 역할과 연결된 모든 리소스 또는 "하위" 역할과 연결된 리소스에 대한 특정 액세스 권한을 부여할 수 있습니다.

역할은 기본적으로 기능 컬렉션입니다. 사용자에게 이러한 기능과 컨트롤러의 리소스에 대한 액세스 권한은 할당된 역할 또는 역할 계층 구조를 통해 상속된 역할을 통해 부여됩니다.

역할은 기능 그룹을 사용자 그룹과 연결합니다. 모든 기능은 역할 내의 멤버십에서 파생됩니다. 사용자는 할당된 역할이나 역할 계층 구조를 통해 상속된 역할을 통해서만 기능을 받습니다. 역할의 모든 멤버는 해당 역할에 부여된 모든 기능을 수행할 수 있습니다. 역할은 조직 내에서 비교적 안정적이지만 사용자와 기능은 둘 다 다양하고 빠르게 변경될 수 있습니다. 사용자는 다수의 역할을 가질 수 있습니다.

역할 계층 구조, 액세스 상속, 역할, 권한, 가상 사용자 생성 등에 대한 자세한 내용은 역할 기반 액세스 제어를 사용하여 액세스 관리를 참조하십시오.

다음은 역할 및 리소스 권한이 있는 조직의 예입니다.

그림 2.2. 자동화 컨트롤러 내의 RBAC 역할 범위

사용자 액세스는 특정 사용자에게 권한을 개별적으로 할당하는 대신 시스템 오브젝트(사용자, 그룹, 네임스페이스)에 대한 권한 관리를 기반으로 합니다. 생성한 그룹에 권한을 할당할 수 있습니다. 그런 다음 사용자를 이러한 그룹에 할당할 수 있습니다. 즉, 그룹의 각 사용자에게 해당 그룹에 할당된 권한이 있습니다.

자동화 허브에서 생성된 팀은 내부 컬렉션 관리, 사용자 액세스 구성, 액세스 권한을 사용하여 그룹에 대한 리포지토리 관리를 담당하는 시스템 관리자부터 자동화 허브에 내부적으로 개발된 콘텐츠를 구성하고 업로드할 수 있는 액세스 권한을 가진 그룹에 이르기까지 다양할 수 있습니다.

프라이빗 자동화 허브의 추가 잠금을 위해 보기 전용 액세스를 활성화할 수 있습니다. 보기 전용 액세스를 활성화하면 사용자가 로그인할 필요 없이 개인 자동화 허브의 컬렉션 또는 네임스페이스를 볼 수 있는 액세스 권한을 부여할 수 있습니다. 보기 전용 액세스를 사용하면 개인 자동화 허브에서 모든 항목을 편집할 수 있는 권한 없이 소스 코드를 보거나 다운로드할 수 있는 기능을 제한하면서 권한이 없는 사용자와 콘텐츠를 공유할 수 있습니다. Red Hat Ansible Automation Platform 설치 프로그램에 있는 인벤토리 파일을 편집하여 프라이빗 자동화 허브에 대한 보기 전용 액세스를 활성화합니다.

모든 업그레이드에서 현재 업그레이드 중인 대상 버전과 주요 버전의 차이가 두 버전 이하여야 합니다. 예를 들어 자동화 컨트롤러 4.3으로 업그레이드하려면 버전 3.8.x 또는 이전 버전에서 직접 업그레이드 경로가 없기 때문에 먼저 버전 4.1.x에 있어야 합니다. 자세한 내용은 Ansible Automation Platform 업그레이드를 참조하십시오. 자동화 컨트롤러 4.3을 실행하려면 Ansible 2.12 이상도 있어야 합니다.