교차 계정 액세스 이해하기
교차 계정 액세스를 사용으로 설정하여 IBM 클라우드 계정 간에 DNS 구역을 안전하게 공유하십시오.
교차 계정 액세스를 사용하면, DNS 영역 및 자원 레코드 정보를 완전히 개인용으로 가질 수 있습니다. DNS 영역과 연관된 VPC만이 IBM Cloud의 사설 네트워크를 통해 데이터에 액세스할 수 있습니다. DNS 영역 및 레코드는 인터넷에서 공개적으로 액세스할 수 없습니다.
이전에는 프로비저닝된 DNS 영역과 동일한 계정의 VPC만 DNS 영역에 액세스할 수 있다. 교차 계정 액세스를 사용하면 별도 계정의 VPC에 액세스 권한이 부여될 수 있습니다.
교차 계정 액세스 기능
크로스 계정 액세스 기능은 IBM Cloud® DNS Services (표준 계획) 과 함께 제공되며 UI, CLI및 API를 통해 사용할 수 있습니다. 소유자의 DNS Services 인스턴스의 구역 ID및 ID를 가져온 후 (요청자로서) DNS Services 인스턴스에 링크된 구역을 작성할 수 있습니다.
요청자로서 링크된 영역을 작성하고 다른 계정의 자원에 대한 액세스를 요청합니다. 그러면 소유자가 교차 계정 액세스 요청을 검토하고 요청을 승인하거나 거부합니다. 요청이 승인되면 해당 자원을 계정에 허용된 네트워크로 추가할 수 있습니다.
주요 용어 이해하기
교차 계정 액세스 기능의 전체 디자인을 이해하기 위해 다음과 같은 몇 가지 주요 용어를 이해하는 데 도움이 됩니다.
- 링크된 영역
- 다른 계정에 정의된 개인 DNS 영역에서 DNS 자원 레코드에 액세스해야 하는 경우, 다른 계정의 구역에 액세스하기 위한 요청을 작성할 수 있습니다. 그런 다음, 다른 계정의 DNS 자원 레코드를 DNS Services 인스턴스의 링크된 구역으로 추가할 수 있습니다.
- 교차 계정 액세스
- 요청자가 소유자가 제공하는 인스턴스의 ID및 구역 ID에 기초하여 링크된 구역을 생성하는 경우, 소유자는 구역에 대한 교차 계정 액세스 요청을 수신한다.
교차 계정 액세스 워크플로우의 예제
이 예제에서 고객은 해당 비즈니스 단위를 기반으로 하는 여러 IBM Cloud 계정을 보유합니다.
A계정은 서비스 (예: 데이터베이스) 를 제공하는 IT 서비스 단위입니다.B계정은 프로덕션 단위입니다.
A 계정이 개인 DNS 영역 services.customer.com 을 작성했으며 이 영역에는 database.services.customer.com에 대한 자원 레코드가 있습니다.
프로덕션 단위는 데이터베이스에 액세스해야 하므로 B계정의 VPC에서 databases.services.customer.com 자원 레코드를 분석할 수 있어야 합니다. 이를 수행하기 위해 B 계정 관리자는 다음을 수행합니다.
- DNS Services 인스턴스를 작성합니다.
Private DNS-1 - 계정
A에서 인스턴스의 구역 ID및 ID를 가져옵니다. Private DNS-1인스턴스에서 링크된 구역을 작성합니다.- 계정 관리자의 교차 계정 액세스 요청 승인 대기
A - After the request is approved, adds VPCs from account
Bas permitted networks in accountA