주:

태그 및 OCI 함수를 사용하여 OCI IAM ID 도메인 사용자 기능 관리 자동화

소개

보안 모범 사례로서 고객은 Oracle Cloud Infrastructure Identity and Access Management(OCI IAM) 사용자의 미사용 기능을 사용 안함으로 설정하려고 합니다. 이렇게 하면 API 키, 인증 토큰 등과 같은 비표준 자격 증명을 통한 공격을 방지할 수 있습니다.

사용자 기능은 관리자가 사용자의 세부정보에서 관리합니다. 각 사용자는 자신의 기능을 볼 수 있지만 관리자만 사용 또는 사용 안함으로 설정할 수 있습니다. 페더레이션 사용자가 사용할 수 있는 사용자 기능은 다음과 같습니다.

주: 통합 사용자는 콘솔 비밀번호 기능을 사용할 수 없습니다. 통합 유저는 사인인 암호를 관리하는 ID 제공자(IdP)를 통해 콘솔에 인증합니다.

기본적으로 이러한 기능은 새 사용자를 프로비전(provision)할 때 사용으로 설정되므로 사용자가 이러한 인증서를 직접 생성할 수 있습니다. 이러한 사용자 인증서에 대한 자세한 내용은 사용자 인증서 작업을 참조하십시오.

이 솔루션은 태그를 사용하여 기존 또는 신규 사용자의 기능 관리를 자동화하는 데 도움이 됩니다. 이 자동화에는 두 가지 모드가 있습니다.

OCI Events Service와의 통합은 생성 중 제공된 태그를 기반으로 신규 사용자가 기능을 적절하게 관리할 수 있도록 보장합니다.

목표

필요 조건

작업 1: 필요한 정책 및 OCI IAM 권한 설정

이 솔루션의 각 구성 요소에는 상호 작용하는 OCI 리소스에 대한 액세스 권한이 있어야 합니다. 이 자습서를 따르려면 다음 권한이 필요합니다.

자세한 정책에 대한 자세한 내용은 이벤트 서비스에 대한 세부 정보함수에 대한 세부 정보를 참조하십시오.

작업 2: 태그 네임스페이스, 태그 키 및 태그 값 정의

태그는 이 솔루션의 기반이므로 필요한 태그 네임스페이스와 태그 키가 있어야 합니다.

작업 2.1: 태그 이름 공간 생성

  1. OCI 콘솔로 이동하여 거버넌스 및 관리, 테넌시 관리로 이동하고 태그 네임스페이스를 누릅니다.

  2. 현재 컴파트먼트의 태그 네임스페이스 목록이 표시됩니다. 태그 네임스페이스 생성을 누릅니다.

  3. 태그 네임스페이스 생성 페이지에서 다음 정보를 입력합니다.

    • 구획에 생성: 네임스페이스 정의를 생성할 구획을 선택합니다.
    • 네임스페이스 정의 이름: 이 태그 집합에 대해 고유한 이름을 입력합니다. 이름은 테넌시 내에서 고유해야 합니다. 태그 네임스페이스는 대소문자를 구분하지 않습니다. 이 값은 나중에 변경할 수 없습니다. 기밀 정보를 입력하지 마십시오.
    • 설명: 친숙한 설명을 입력합니다. 원하는 경우 나중에 이 값을 변경할 수 있습니다.

  4. 태그 이름 공간 생성을 누릅니다.

태그-네임스페이스-생성

작업 2.2: 태그 키 정의 생성

  1. 태그 네임스페이스 페이지에서 태그 키 정의를 추가할 태그 네임스페이스를 누릅니다.

  2. 태그 네임스페이스 세부정보 페이지에서 태그 키 정의 생성을 누릅니다.

  3. 태그 키 정의 생성 페이지에서 다음 정보를 입력합니다.

    • 태그 키: 키를 입력합니다. 값은 api_keys, console_password, auth_tokens, customer_secret_keys, db_credentials, o_auth2_client_credentialssmtp_credentials 중 하나여야 합니다.
    • 설명: 친숙한 설명을 입력합니다.
    • 비용 추적: 비용 추적에 대해 이 태그를 사용으로 설정하려면 선택합니다. 테넌시에서 최대 10개의 비용 추적 태그를 사용할 수 있습니다.

  4. 태그 값 유형에서 값 목록을 선택하고 를 입력합니다. 여기서 이러한 기능이 필요하며, 그렇지 않으면 사용자에 대해 사용 안함으로 설정됩니다.

  5. Create Tag Key Definition을 누릅니다.

태그-키 생성

작업 2.3: 사용자에 태그 추가

  1. 기존 사용자에 태그를 추가합니다.

    1. OCI 콘솔로 이동하여 ID 및 보안, ID, 도메인을 차례로 누릅니다.

    2. 현재 컴파트먼트의 도메인 목록이 표시됩니다. 도메인을 선택하고 사용자를 누릅니다. 태그를 추가하려는 사용자를 찾아 누릅니다.

    3. 작업 더 보기 드롭다운 메뉴에서 태그 추가를 누릅니다.

    4. 태그 추가 페이지에서 다음 정보를 입력합니다.

      • 태그 이름 공간을 선택합니다.
      • Tag Key를 선택합니다.
      • 목록에서 하나를 선택합니다.
      • 다른 태그를 적용하려면 태그 추가를 누릅니다.

    5. 태그 추가를 완료하면 태그 추가를 누릅니다.

  2. 새 사용자에 추가하십시오. 새 사용자를 생성하는 동안 고급 옵션 표시에서 태그를 추가합니다.

사용자 태그

주: 사용으로 설정할 모든 기능에 대한 태그를 추가합니다.

작업 3: OCI 함수 개발 및 배치

이 기능은 사용자의 태그를 읽고 기능에 대한 조치를 취합니다. 이를 위해 다음 작업을 수행합니다.

GitHub에서 함수 코드를 다운로드하여 커스터마이즈한 다음 배치합니다.

  1. GitHub 저장소를 iam-user-capability-management에서 다운로드합니다.

  2. OCI 함수 생성 및 배포에 설명된 지침을 따릅니다.

자세한 내용은 함수 생성을 참조하십시오.

작업 4: OCI 리소스 스케줄러에서 일정 생성

  1. OCI 콘솔로 이동하여 거버넌스 및 관리, 리소스 스케줄러로 이동하고 일정을 누릅니다.

  2. 스케줄 생성을 누릅니다.

  3. 기본 정보스케줄 이름, 스케줄 설명시작으로 실행할 작업을 입력하고 다음을 누릅니다.

  4. 리소스에서 함수 컴파트먼트 및 함수를 선택하고 다음을 누릅니다.

  5. 스케줄에서 일별을 선택하고 요구사항에 따라 기타 매개변수를 구성합니다.

    • 반복 간격: 스케줄을 실행할 빈도를 입력하거나 메뉴를 사용하여 간격을 선택합니다. 최소값은 1입니다. 최대값은 99입니다.

    • 시작 시간: 24시간 형식으로 시간과 분으로 시간을 입력합니다.

  6. 다음을 누르고 정보를 검토합니다. 스케줄 생성을 누릅니다.

일정이 잡힌 간격에 따라 함수가 실행됩니다. 자세한 내용은 Creating Schedules를 참조하십시오.

작업 5: OCI 이벤트 서비스에서 이벤트 규칙 설정

  1. OCI 콘솔로 이동하여 관찰 가능성 및 관리, 이벤트 서비스로 이동하고 규칙을 누릅니다.

  2. 루트 컴파트먼트를 선택하고 규칙 생성을 누릅니다.

  3. 표시 이름설명을 입력합니다.

  4. 규칙 조건 섹션에서 다음 정보를 입력합니다.

    • 조건: 이벤트 유형을 선택합니다.
    • 서비스 이름: ID를 선택합니다.
    • 이벤트 유형: 사용자 생성을 선택합니다.

  5. 작업 섹션에 다음 정보를 입력합니다.

    • 작업 유형: 함수를 선택합니다.
    • 함수 응용 프로그램함수를 선택합니다.

  6. 규칙 생성을 누릅니다.

그러면 새 유저가 생성될 때 함수가 호출됩니다. 자세한 내용은 이벤트 규칙 생성을 참조하십시오.

이벤트-규칙-작성

주: 이벤트 규칙 및 함수 응용 프로그램에 대한 로그를 사용으로 설정하면 추가 모니터링 기능이 제공됩니다.

확인

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.