Red Hat Summit2장. OpenShift의 Red Hat OpenStack Services에서 보안 역할 기반 액세스 제어
RHOSO(Red Hat OpenStack Services) 18.0의 ID 서비스(keystone)에 인증하는 모든 사용자는 보안 역할 기반 액세스 제어(SRBAC)를 사용합니다. SRBAC는 업데이트된 역할 기반 인증 스키마이며 RHOSO의 모든 배포에 있습니다. 이제 모든 정책에 이 스키마가 사용됩니다.
2.1. OpenShift의 Red Hat OpenStack Services에서 SRBAC
링크 복사링크가 클립보드에 복사되었습니다!
Keystone은 범위별 역할인 가상 사용자를 사용하여 보안 역할을 구현합니다. 프로젝트 또는 시스템 범위 중 하나인 사용자 또는 그룹에 역할을 할당할 수 있습니다.
2.1.1. 역할
링크 복사링크가 클립보드에 복사되었습니다!
역할은 사용자가 수행할 수 있는 작업을 정의합니다. 프로젝트 및 시스템 범위 내에서 사용할 수 있는 OpenStack 역할은 세 가지가 있습니다.
- admin
- 모든 범위에서 관리자 역할을 부여하면 리소스 및 API에 대한 모든 생성, 읽기, 업데이트 또는 삭제 작업이 포함됩니다.
- 멤버
-
member역할은 멤버가 속한 범위에 속하는 리소스를 생성, 읽기, 업데이트 및 삭제할 수 있습니다. - reader
-
reader역할은 적용되는 범위에 관계없이 읽기 전용 작업에 사용됩니다. 이 역할은 적용되는 범위 전체에서 리소스를 볼 수 있습니다.
2.1.2. 범위
링크 복사링크가 클립보드에 복사되었습니다!
범위는 작업이 수행되는 컨텍스트입니다. 모든 OpenStack 리소스는 특정 프로젝트에서 소유하므로 해당 리소스에 대한 액세스 권한은 프로젝트 범위에 역할을 할당하여 부여됩니다.
2.1.3. 가상 사용자
링크 복사링크가 클립보드에 복사되었습니다!
- 프로젝트 관리자
- 이 가상 사용자는 프로젝트 간에 리소스에 대한 생성, 읽기, 업데이트 및 삭제 작업을 포함하며, 여기에는 사용자 및 기타 프로젝트 추가 및 제거가 포함됩니다. 모든 범위에 사용자 관리자를 부여하면 사용 가능한 모든 범위에서 모든 API에 대한 전체 API 액세스 권한이 부여됩니다.
- 프로젝트 멤버
- 프로젝트 멤버 persona는 프로젝트 범위 내에서 리소스를 사용할 수 있는 권한이 부여된 사용자를 위한 것입니다. 이 사용자는 할당된 프로젝트 내에서 리소스를 생성, 나열, 업데이트 및 삭제할 수 있습니다. 이 사용자는 프로젝트 리더에게 부여된 모든 권한을 의미합니다.
- 프로젝트 리더
- 프로젝트 reader persona는 프로젝트에서 중요하지 않은 리소스를 볼 수 있는 권한이 부여된 사용자를 위한 것입니다. 프로젝트에서 리소스를 검사하거나 확인해야 하는 최종 사용자에게 reader 역할을 할당합니다. 감사자는 감사 목적으로 단일 프로젝트 내에서 프로젝트별 리소스만 볼 필요가 있는 감사 사용자에게 reader 역할을 할당하면 프로젝트 읽기 사용자가 모든 감사 사용 사례를 다루지는 않습니다.
- 시스템 관리자
- 시스템 관리자는 일반적으로 배포 동작에 영향을 줄 수 있는 클라우드 관리자입니다. 모든 범위에 사용자 관리자를 부여하면 사용 가능한 모든 범위에서 모든 API에 대한 전체 API 액세스 권한이 부여됩니다.
- 시스템 멤버 및 시스템 리더
-
시스템 멤버와 시스템 리더는 동일한 권한을 가지며 keystone 내의 모든 리소스를 볼 수 있습니다.
시스템 리더persona는 감사자가 중요한 정보에 대한 액세스 권한이 필요하지 않은 경우 유용합니다.
참고
도메인 범위를 기반으로 하는 추가 가상 사용자는 사용할 수 없습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}