Red Hat Summit10장. 사용자 액세스 보안 개선
Red Hat OpenStack Platform 17에서 보안 역할 기반 액세스 제어(SRBAC)를 활성화할 수 있습니다. SRBAC 모델에는 프로젝트 범위에 있는 세 가지 역할을 기반으로 하는 세 개의 가상 사용자가 있습니다.
10.1. SRBAC 가상 사용자
가상 사용자는 역할의 조합과 해당 역할이 속한 범위입니다. Red Hat OpenStack Platform 17을 배포할 때 프로젝트 범위에서 가상 사용자를 할당할 수 있습니다.
10.1.1. Red Hat OpenStack Platform SRBAC 역할
현재 프로젝트 범위 내에서 세 가지 다른 역할을 사용할 수 있습니다.
- admin
-
admin역할에는 리소스 또는 API에 대한 모든 생성, 읽기, 업데이트 또는 삭제 작업이 포함됩니다. - 멤버
-
member역할은 멤버가 속한 범위에 속하는 리소스를 생성, 읽기, 업데이트 및 삭제할 수 있습니다. - reader
-
reader역할은 적용되는 범위에 관계없이 읽기 전용 작업에 사용됩니다. 이 역할은 적용되는 범위 전체에서 리소스를 볼 수 있습니다.
10.1.2. Red Hat OpenStack Platform SRBAC 범위
범위는 작업이 수행되는 컨텍스트입니다. Red Hat OpenStack Platform 17에서는 프로젝트 범위만 사용할 수 있습니다. 프로젝트 범위는 OpenStack 내에서 격리된 셀프 서비스 리소스를 위한 API의 포함된 하위 집합입니다.
10.1.3. Red Hat OpenStack Platform SRBAC 가상 사용자
- 관리자
프로젝트 관리자 가상 사용자는 사용 가능한 유일한 관리자 개인이므로 Red Hat OpenStack Platform 17에는 프로젝트 관리자에게 최고 수준의 권한 부여를 부여하는 수정된 정책이 포함되어 있습니다. 이 가상 사용자는 프로젝트 간에 리소스에 대한 생성, 읽기, 업데이트 및 삭제 작업을 포함하며, 여기에는 사용자 및 기타 프로젝트 추가 및 제거가 포함됩니다.
참고이 개인은 향후 개발 범위에 따라 변경될 것으로 예상됩니다. 이 역할은 프로젝트 멤버 및 프로젝트 리더에게 부여된 모든 권한을 의미합니다.
- 프로젝트 멤버
- 프로젝트 멤버 persona는 프로젝트 범위 내에서 리소스를 사용할 수 있는 권한이 부여된 사용자를 위한 것입니다. 이 사용자는 할당된 프로젝트 내에서 리소스를 생성, 나열, 업데이트 및 삭제할 수 있습니다. 이 사용자는 프로젝트 리더에게 부여된 모든 권한을 의미합니다.
- 프로젝트 리더
- 프로젝트 reader persona는 프로젝트에서 중요하지 않은 리소스를 볼 수 있는 권한이 부여된 사용자를 위한 것입니다. 프로젝트에서 리소스를 검사하거나 확인해야 하는 최종 사용자에게 reader 역할을 할당합니다. 감사자는 감사 목적으로 단일 프로젝트 내에서 프로젝트별 리소스만 볼 필요가 있는 감사 사용자에게 reader 역할을 할당하면 프로젝트 읽기 사용자가 모든 감사 사용 사례를 다루지는 않습니다.
시스템 또는 도메인 범위를 기반으로 하는 추가 가상 사용자는 개발 중이며 사용할 수 없습니다.
Image 서비스(glance)는 metadef API에 대한 SRBAC 권한을 지원하지 않습니다. 이미지 서비스 metadef API의 RHOSP 17.1의 기본 정책은 관리자 전용입니다.
