대규모 조직에서는 앱과 사용자 수가 증가함에 따라 기업 전반의 보안 관리가 점점 더 어려워지고 있습니다. 역할 기반 액세스 제어 모델을 사용하면 사용자가 액세스할 수 있는 항목을 세밀하게 제어할 수 있습니다. 하지만 사용자 수가 많아지면 모든 사용자에 대한 권한을 개별적으로 관리하는 것이 상당히 어려워질 수 있습니다.

사용자 권한 관리가 제대로 이루어지지 않으면(예를 들어, 사용자 권한이 업무 담당이 바뀌거나 퇴사하는 경우 사용자 권한을 잘못 변경하는 경우) 실수로 권한이 상승하거나 권한이 부족하여 업무를 완료하지 못하는 경우가 발생할 수 있습니다.

이 블로그에서는 Couchbase의 새로운 '그룹' 기능과 함께 쉽게 시작할 수 있는 단계에 대해 설명합니다. 이 블로그에서는 도메인=couchbase 사용자에게 적용되는 그룹에만 초점을 맞추며, 다음 블로그에서는 LDAP 기반 그룹 지원에 대해 설명합니다.

카우치베이스 그룹이란 무엇인가요?


Couchbase 그룹은 Couchbase에서 보안 관리 및 유지 관리를 간소화하기 위해 Couchbase 사용자를 함께 그룹화하는 데 사용됩니다. 일반적으로 Couchbase의 사용자는 사용자에게 할당된 RBAC 권한에 따라 리소스에 대해 여러 가지 작업을 수행할 수 있습니다. 예를 들어, 직원에게 모든 버킷에 대한 SELECT 액세스 권한이 필요할 수 있습니다. 이전 버전의 Couchbase에서는 사용자 온보딩을 위해 모든 직원에 대해 사용자 계정(도메인=couchbase)을 생성하고 bucket['*']에 대한 SELECT 권한을 개별적으로 할당해야 했습니다.

Couchbase 6.5에서는 그룹을 만들어 업무 역할이 비슷한 사용자를 한데 묶고 이들의 권한을 쉽게 제어할 수 있습니다. 모든 사용자 계정을 수정하는 대신 권한을 그룹에 직접 연결하고 그룹의 구성원인 사용자에게 권한을 상속할 수 있습니다.

그림 : 카우치베이스의 고정 역할은 개별 사용자 또는 그룹에 적용할 수 있습니다.

카우치베이스의 사용자 및 그룹 


이제 카우치베이스의 관리자 UI에서 보안 탭에서 사용자 보기와 그룹 보기를 전환할 수 있습니다. 보안 탭에 액세스하려면 전체 관리자 또는 보안 관리자 권한이 있어야 합니다.  

아래 그림과 같이 '사용자'를 선택하면 권한 부여 도메인(이 경우 Couchbase만 해당)과 사용자의 다양한 역할을 포함한 모든 사용자 정보가 나열됩니다.

'그룹'을 선택하면 모든 그룹과 관련 역할이 나열됩니다.

Couchbase 그룹 만들기


그룹을 만들고 그룹에 역할을 할당하는 방법은 간단합니다. UI의 오른쪽 상단에 있는 '그룹 추가'를 클릭하고 그룹 이름과 그룹에 연결할 역할을 선택하기만 하면 그룹을 만들 수 있습니다.


그룹에 사용자 추가하기

그룹을 쉽게 만들 수 있는 것처럼 새 사용자를 만들고 그룹에 매핑하는 방법도 간단합니다. UI의 오른쪽 상단에 있는 '사용자 추가' 링크를 클릭하면 아래와 같은 대화 상자가 나타납니다. 아래 예시에서 샘은 생성된 임원 그룹에 매핑된 사용자입니다. 이 경우에는 '임원' 그룹만 선택했으며, 한 사용자를 둘 이상의 그룹에 추가할 수 있습니다. 이 경우 사용자의 유효 권한은 모든 그룹의 권한과 사용자에게 직접 할당된 권한의 합입니다.

그룹-역할 매핑 요약하기

다음은 지금까지의 설정에 따른 다양한 그룹 및 역할 매핑에 대한 간략한 요약입니다.


이는 다음을 의미합니다. 

  1. 이그제큐티브는 사실상 전체 관리자이며 Couchbase의 모든 권한을 갖습니다.
  2. 관리자는 버킷에 대한 전체 읽기-쓰기 권한과 클러스터 및 버킷 관리자 권한이 있습니다. 보안 설정에는 액세스할 수 없습니다.
  3. 직원은 모든 버킷에 대해 N1QL SELECT 문만 실행하고 인덱스를 관리할 수 있어야 합니다.

'Mary'로 로그인합니다: 직원

로그인한 사용자가 오른쪽 상단에 표시된 'mary'인 것을 확인할 수 있습니다.


 N1QL 선택 쿼리는 잘 작동하여 Mary가 맥주 샘플에서 선택할 수 있습니다.

Mary에게 예상대로 필요한 권한이 없기 때문에 N1QL 삽입 쿼리가 실패합니다.

'Bob'으로 로그인합니다: 관리자
로그인한 사용자가 오른쪽 상단에 표시된 'bob'인 것을 확인할 수 있습니다.

Bob은 보안 설정을 변경할 수 없으며 왼쪽 메뉴에 '보안' 옵션이 표시되지 않는다는 점에 유의하세요.

결론

카우치베이스 사용자를 위한 그룹 지원은 카우치베이스 서버 6.5의 흥미로운 새 기능입니다. 이 블로그가 도움이 되셨기를 바라며, 언제나 그렇듯이 여러분의 피드백을 기다리겠습니다. Couchbase Server를 직접 사용해 보시고 새로운 멋진 기능들을 모두 확인해 보세요.

리소스

다운로드

Couchbase Server 6.5 다운로드

 문서

카우치베이스 서버 6.5 릴리스 노트

카우치베이스 서버 6.5의 새로운 기능

블로그

블로그 Couchbase Server 6.5 발표 - 새로운 기능 및 개선 사항

블로그 분산형 다중 문서 ACID 트랜잭션을 NoSQL에 도입한 Couchbase

6.5 블로그 모두 보기

 

작성자

게시자 Chaitra Ramarao, Sr. 제품 관리자, Couchbase Inc.

Chaitra Ramarao는 데이터베이스 툴링, 데이터센터 간 복제 및 파트너 통합을 선도하는 NoSQL 데이터베이스 회사인 Couchbase의 선임 제품 관리자입니다. 이전에는 카이저 퍼머넌트에서 데이터 분석 제품 관리와 휴렛팩커드에서 소프트웨어 개발을 담당했습니다. 그녀는 카네기 멜론에서 ECE 학사 학위와 엔지니어링 및 기술 혁신 관리 석사 학위를 받았습니다.

모든 게시물

댓글 남기기