소개

CIS(IBM Cloud Internet Service)에는 Security/Performance/Availability와 관련된 기능이 풍부하기 때문에 모든 사용자에게 모든 권한을 부여하는 것이 아니라 특정 사용자에게만 제한된 기능만 접할 수 있도록 하고 싶다···라고 하는 요망은 보통에 있다고 생각한다. 이번에는 IBM Cloud의 IAM에서 Availablity(DNS 등)만의 권한을 부여할지 어떨지를 확인해 보았다.

하고 싶은 것은 다음과 같다.

여러 인스턴스가 있는 경우 특정 인스턴스에만 액세스하고 싶습니다.

그 복수 인스턴스중에서도, 특정의 도메인에 밖에 액세스 시키고 싶지 않다.

그 도메인 중에서도 Availability 관련 기능(DNS 등) 밖에 편집시키고 싶지 않다.

1. 초기 상태

관리자 관점:

많은 서비스가 존재한다.

관리자는 여러 CIS 인스턴스에 액세스 할 수 있지만 CIS 인스턴스에는 여러 도메인이 있으며 액세스 할 수 있습니다.

사용자 관점:

초기 상태에서는 어떤 서비스에도 참조할 수 없다.

2. CIS 콘솔에서 권한 부여

관리자 관점에서 작업

이번에는 특정 도메인에 대한 DNS 관련 작업만 허용하고 싶으므로 대상 사용자에게 Manager 역할을 부여합니다. (덧붙여서 Writer 권한이라면 기존 Object의 편집은 할 수 있지만 신규 작성 등은 할 수 없는 것 같다). DNS는 Reliability에 속하기 때문에 그만 선택하고 Create Policy를 선택합니다. 덧붙여 도메인 레벨에서의 Viewer 롤이나 Reader 롤은 반드시 부여되어 버리는 것 같다.


IAM에서 해당 사용자를 확인해 보면, 상기 조작에 의해 새롭게 이하의 권한이 작성되고 있다.

3. 테스트

사용자 관점에서 작업

3.1 해당 CIS 인스턴스가 보이게 되었다(기대대로)

3.2 다른 도메인은 열람할 수 없다(기대대로)

3.3 이 화면에서 Defense Mode로 변경하려고 하면 실패한다(기대대로)

Defense Mode의 변경은 Security의 기능이며 Reliability의 기능이 아니기 때문에.

3.4 CDN을 캐싱하려고 해도 실패한다(예상대로).

CDN는 Performance의 기능이고 Reliability의 기능이 아니기 때문에.

3.5 한편, DNS 레코드의 추가·편집·삭제는 성공한다(기대대로)

DNS는 Reliability 기능이므로.

참고

IAM에서는 아래와 같이 sub-scope라는 기능도 있는 것 같지만, 실제로는 이것은 기능하고 있지 않았다. 이것은 현시점에서는 일반 용도용으로는 추천되어 있지 않은 것 같다(어쩌면 내부적으로 사용되고 있을 것이다) 때문에, 사용하지 않는 것이 좋을 것 같다.