다른 클라우드 제공자에게 IBM Cloud IAM 개념 맵핑
ID 및 액세스 관리는 사용자를 안전하게 인증하고 클라우드 리소스에 대한 액세스를 제공하는 데 사용됩니다. 클라우드 제공자 간의 IAM은 인증 및 액세스를 보호하기 위한 일관성 있는 방법이지만 각 클라우드 제공자의 개념과 적용 방식은 서로 다를 수 있습니다. 표에 있는 다음 정보를 검토하여 IBM Cloud에서 원활하게 온보딩할 수 있도록 IBM Cloud IAM의 개념이 기타 클라우드 제공자와 관련되거나 비교되는 방식을 자세히 알아보십시오.
IAM 개념 비교
Amazon Web Services(AWS), Google Cloud Platform 및 Microsoft Azure와 같은 기타 클라우드 제공자에 대한 IBM Cloud IAM 개념의 다음 맵핑은 정확히 일대일로 일치하지 않을 수 있습니다. 그러나 다른 제공자의 특정 개념에 익숙한 경우 이 맵핑은 IBM Cloud에서 가장 근접한 관련 개념을 찾는 데 도움을 주기 위한 것입니다.
| IBM Cloud 개념 | IBM Cloud 설명 | AWS | Azure | Google Cloud Platform |
|---|---|---|---|---|
| ID | 사용자 및 서비스 ID | 사용자, 그룹 및 역할 | 사용자, 그룹, 서비스 프린시펄, 관리 ID | 사용자 계정 및 서비스 계정. 지원되는 ID 유형: Google 계정, 서비스 계정, Google 그룹, G Suite 도메인, Cloud Identity 도메인 |
| 사용자 | IAM 외부에서 관리됨. 사용자는 iam_id 값을 사용하여 IBM Cloud에서 고유하게 식별되지만 IBM ID, App ID 또는 SoftLayer에서 생성될 수 있습니다. | IAM에서 관리됨. 외부 ID 관리 시스템에 대해 연합된 ID입니다. | Active Directory에서 맵핑됨 | IAM 외부에서 관리됨. 외부 ID 관리 시스템에 대해 연합된 ID입니다. |
| 서비스 ID | 앱 또는 서비스의 ID | 앱에 지정된 역할 | 사용자 지정 ID | 서비스 계정 |
| API 키 | 사용자 또는 서비스 ID에 사용되는 신임 정보 | 액세스 키 | api-키 | API 키 |
| 액세스 그룹 | 그룹의 모든 구성원에게 동일한 액세스 권한이 지정되는 사용자 및 서비스 ID를 구성하는 방법 | 그룹, 역할 | Active Directory 그룹 | Google Groups |
| 신뢰할 수 있는 프로파일 | 신임 정보를 관리하고 교체할 필요 없이 컴퓨팅 자원에서 실행되는 모든 애플리케이션 또는 SAML 속성을 기반으로 연합 사용자에게 액세스 권한을 할당하는 방법입니다. | 역할 | 관리 ID | 워크로드 ID |
| 정책 | 제목, 대상 및 역할로 구성되는 액세스 지정 | 정책 | 역할 지정 | 정책 |
| 정책 주체 | 사용자, 서비스 ID 또는 액세스 그룹 | IAM 사용자, 그룹 또는 역할 | 보안 프린시펄 | 리소스 |
| 역할 | 역할은 액세스 정책을 작성하기 위해 빌드 블록으로 사용되는 특정 리소스에 대한 조치의 콜렉션입니다. | AWS 관리 정책 | 역할 정의 | 사전 정의된 역할 |
| 사용자 정의 역할 | 고객 정의 및 이름이 지정된 역할(사용자가 선택한 조치만 포함) | 고객 관리 정책 | 사용자 정의 역할 | 사용자 정의 역할 |
| 조치 | 플랫폼 또는 서비스의 컨텍스트 내에서 완료될 수 있는 항목 | 조치 | 권한 | 권한 |
| 자원 | 액세스 정책의 대상 | 자원 | 자원 | 자원 |
| 리소스 그룹 | IAM 사용 서비스에 대한 논리 조직 컨테이너 | 태그 | 리소스 그룹 | 프로젝트 |
| 공용 액세스 | 특정 리소스에 대한 공용 액세스는 공용 액세스라고 하는 기본 액세스 그룹을 통해 사용으로 설정됩니다. 이 기능은 각 계정에서 사용 안함으로 설정될 수 있습니다. | 특정 리소스에 대해 사용 가능하고 계정 또는 버킷 레벨에서 사용 불가능한 Amazon S3의 기능 | 공용 읽기 액세스는 특정 계정 유형 또는 리소스에 대해 사용 가능합니다. 스토리지 계정 또는 컨테이너 레벨에서 사용 불가능합니다. | Google에는 Google 계정으로 인증되는 모든 서비스 계정 및 모든 사용자를 나타내는 allAuthenticatedUsers의 ID가 있으며, 액세스할 수 있는 권한도 부여됩니다. |
| 감사 | 감사 대상 IBM Cloud Activity Tracker Event Routing | AWS CloudTrail을 사용한 감사 | Azure 로깅 및 감사 활동 로그 | 감사 로깅으로 감사 |
| 엔터프라이즈 관리 IAM | IBM Cloud 다중 계정 환경에 대한 액세스 및 보안 설정을 중앙에서 관리합니다. | AWS 제어 타워 |
사용자를 IBM Cloud와 연합
IBM Cloud는 회사 사용자 이름 및 비밀번호를 통해 IBM Cloud에 대한 액세스 권한을 직원에게 제공하여 로그인을 간소화함으로써 기업 ID 제공자(IdP)를 연합하는 두 가지 방법을 제공합니다. IBMid와 연합하거나 IBM Cloud App ID 서비스 인스턴스를 작성하고 이를 사용하여 사용자를 IBM Cloud 계정에 연합할 수 있습니다. 자세한 정보는 외부 ID 제공자에서 인증 사용을 참조하십시오.
두 연합 옵션은 모두 사용자가 계정의 구성원이거나, 조작을 완료할 수 있도록 신뢰할 수 있는 프로파일을 통해 계정에 대한 액세스 권한을 갖고 있을 것을 요구합니다. 신뢰 프로파일이 구성되지 않은 경우, 계정 소유자 또는 관리자가 개별 IBMids를 IBM Cloud 계정으로 초대해야 합니다. 초대를 받은 IBM ID가 초대를 수락한 경우에만 사용자는 활성 사용자로 계정에 추가됩니다. App ID의 경우 사용자는 계정에 각각의 사용자를 초대할 필요 없이 IBM Cloud에 자동으로 온보딩됩니다. 두 유형의 연합 모두에서 사용자는 모두 지정된 액세스에 따라 IAM 사용 리소스 및 클래식 인프라를 포함하여 플랫폼에 액세스할 수 있는 활성 IBM Cloud 계정 사용자입니다.
신뢰 프로파일은 연합 사용자를 다르게 처리합니다. 고객이 자신의 회사 IdP를 연합시키는 경우, 해당 IdP의 사용자는 일반 사용자와 같이 계정에 추가되지 않습니다. 대신 사용자의 SAML 기반 IdP 속성은 로그인 시 평가되며 신뢰 프로파일에 대한 모든 조건을 충족하는 경우 하나 이상의 신뢰 프로파일을 적용하라는 메시지가 표시됩니다. 신뢰할 수 있는 프로파일은 사용자에게 제한된 기간(예: 1 - 4시간) 동안 전문적인 특정 태스크를 완료하는 데 필요한 액세스 권한 레벨을 부여합니다. 시간 기반 액세스를 통해 보안 위험 감소에 대한 빈번한 인증 확인이 가능합니다. 이는 일반적으로 일일 작업에서 의도하지 않게 수행하지 않으려는 중요한 태스크입니다. 사용자는 IBM Cloud에 온보딩할 필요가 없으며 신뢰 관계를 통해 자동으로 추가됩니다. 특정 사용자가 회사를 떠나는 경우에는 해당 사용자의 회사 ID를 디렉토리에서 삭제할 수 있으며, 이렇게 하면 IBM Cloud에 대한 액세스 권한이 취소됩니다.