CIS(IBM Cloud Internet Service)에서 특정 도메인의 특정 기능에만 편집 권한을 부여하는 방법
소개
CIS(IBM Cloud Internet Service)에는 Security/Performance/Availability와 관련된 기능이 풍부하기 때문에 모든 사용자에게 모든 권한을 부여하는 것이 아니라 특정 사용자에게만 제한된 기능만 접할 수 있도록 하고 싶다···라고 하는 요망은 보통에 있다고 생각한다. 이번에는 IBM Cloud의 IAM에서 Availablity(DNS 등)만의 권한을 부여할지 어떨지를 확인해 보았다.
하고 싶은 것은 다음과 같다.
1. 초기 상태
관리자 관점:
많은 서비스가 존재한다.
관리자는 여러 CIS 인스턴스에 액세스 할 수 있지만 CIS 인스턴스에는 여러 도메인이 있으며 액세스 할 수 있습니다.
사용자 관점:
초기 상태에서는 어떤 서비스에도 참조할 수 없다.
2. CIS 콘솔에서 권한 부여
관리자 관점에서 작업
이번에는 특정 도메인에 대한 DNS 관련 작업만 허용하고 싶으므로 대상 사용자에게 Manager
역할을 부여합니다. (덧붙여서 Writer
권한이라면 기존 Object의 편집은 할 수 있지만 신규 작성 등은 할 수 없는 것 같다). DNS는 Reliability
에 속하기 때문에 그만 선택하고 Create Policy
를 선택합니다. 덧붙여 도메인 레벨에서의 Viewer
롤이나 Reader
롤은 반드시 부여되어 버리는 것 같다.
IAM에서 해당 사용자를 확인해 보면, 상기 조작에 의해 새롭게 이하의 권한이 작성되고 있다.
3. 테스트
사용자 관점에서 작업
3.1 해당 CIS 인스턴스가 보이게 되었다(기대대로)
3.2 다른 도메인은 열람할 수 없다(기대대로)
3.3 이 화면에서 Defense Mode로 변경하려고 하면 실패한다(기대대로)
Defense Mode의 변경은 Security
의 기능이며 Reliability
의 기능이 아니기 때문에.
3.4 CDN을 캐싱하려고 해도 실패한다(예상대로).
CDN는 Performance
의 기능이고 Reliability
의 기능이 아니기 때문에.
3.5 한편, DNS 레코드의 추가·편집·삭제는 성공한다(기대대로)
DNS는 Reliability
기능이므로.
참고
IAM에서는 아래와 같이 sub-scope라는 기능도 있는 것 같지만, 실제로는 이것은 기능하고 있지 않았다. 이것은 현시점에서는 일반 용도용으로는 추천되어 있지 않은 것 같다(어쩌면 내부적으로 사용되고 있을 것이다) 때문에, 사용하지 않는 것이 좋을 것 같다.
Reference
이 문제에 관하여(CIS(IBM Cloud Internet Service)에서 특정 도메인의 특정 기능에만 편집 권한을 부여하는 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/22948266ebcdba31cc15
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
관리자 관점에서 작업
이번에는 특정 도메인에 대한 DNS 관련 작업만 허용하고 싶으므로 대상 사용자에게
Manager
역할을 부여합니다. (덧붙여서 Writer
권한이라면 기존 Object의 편집은 할 수 있지만 신규 작성 등은 할 수 없는 것 같다). DNS는 Reliability
에 속하기 때문에 그만 선택하고 Create Policy
를 선택합니다. 덧붙여 도메인 레벨에서의 Viewer
롤이나 Reader
롤은 반드시 부여되어 버리는 것 같다.IAM에서 해당 사용자를 확인해 보면, 상기 조작에 의해 새롭게 이하의 권한이 작성되고 있다.
3. 테스트
사용자 관점에서 작업
3.1 해당 CIS 인스턴스가 보이게 되었다(기대대로)
3.2 다른 도메인은 열람할 수 없다(기대대로)
3.3 이 화면에서 Defense Mode로 변경하려고 하면 실패한다(기대대로)
Defense Mode의 변경은 Security
의 기능이며 Reliability
의 기능이 아니기 때문에.
3.4 CDN을 캐싱하려고 해도 실패한다(예상대로).
CDN는 Performance
의 기능이고 Reliability
의 기능이 아니기 때문에.
3.5 한편, DNS 레코드의 추가·편집·삭제는 성공한다(기대대로)
DNS는 Reliability
기능이므로.
참고
IAM에서는 아래와 같이 sub-scope라는 기능도 있는 것 같지만, 실제로는 이것은 기능하고 있지 않았다. 이것은 현시점에서는 일반 용도용으로는 추천되어 있지 않은 것 같다(어쩌면 내부적으로 사용되고 있을 것이다) 때문에, 사용하지 않는 것이 좋을 것 같다.
Reference
이 문제에 관하여(CIS(IBM Cloud Internet Service)에서 특정 도메인의 특정 기능에만 편집 권한을 부여하는 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/testnin2/items/22948266ebcdba31cc15
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
IAM에서는 아래와 같이 sub-scope라는 기능도 있는 것 같지만, 실제로는 이것은 기능하고 있지 않았다. 이것은 현시점에서는 일반 용도용으로는 추천되어 있지 않은 것 같다(어쩌면 내부적으로 사용되고 있을 것이다) 때문에, 사용하지 않는 것이 좋을 것 같다.
Reference
이 문제에 관하여(CIS(IBM Cloud Internet Service)에서 특정 도메인의 특정 기능에만 편집 권한을 부여하는 방법), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/testnin2/items/22948266ebcdba31cc15텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)