이 블로그 게시물은 Oracle® Cloud Infrastructure(OCI) IAM(Identityand Access Management) 구성 요소를 소개하고 Oracle 클라우드 리소스를 관리하는 데 도움이 되는 몇 가지 기능을 보여줍니다.
이 게시물은 사용자 그룹에 지정할 수 있는 특정 리소스에 대한 액세스 유형과 OCI를 Oracle Identity Cloud Service(IDCS)와 연합하는 방법을 식별합니다.
IAM의 구성요소
IAM에는 다음 구성 요소가 포함됩니다.
-
리소스 :리소스는 Computeinstances, 블록, VCN(가상 클라우드 네트워크) 및 서브넷과 같이 OCI에서 생성되는 개체입니다.
-
사용자 :사용자는 그룹에 대한 테넌시 및 구획 정책에 따라 제한된 권한과 OCI 리소스에 대한 액세스를 제공하는 그룹에 할당됩니다.
-
그룹 :그룹은 동일한 OCIresources에 대한 액세스 권한이 있는 사용자의 모음입니다. 사용자는 하나 이상의 그룹에 속할 수 있습니다.
-
동적 그룹 :동적 그룹은 보안을 제공하고 서버 측이 아닌 클라이언트 측에서 키를 관리할 수 있도록 합니다. 동적 그룹은 구획의 특정 인스턴스를 연결할 수 있습니다. 동적 그룹에 정책을 할당하여 API(응용 프로그램 프로그래머 인터페이스)를 통해 액세스할 특정 인스턴스에 대한 액세스를 제공할 수 있습니다.
-
구획 :구획은 정책을 시행하고 컴퓨팅, 스토리지, 네트워크, 로드 밸런서 및 기타 리소스에 대한 제어 액세스를 제공할 수 있는 글로벌 논리적 컨테이너입니다. 예를 들어 정책을 사용하여 관리자가 아닌 사용자가 해당 구획에서 생성된 리소스를 사용하지 못하도록 제한할 수 있습니다.
-
임대 :테넌시는 기본 루트 구획이며 모든 OCIresources를 포함합니다. 테넌시 내에서 관리자는 하나 이상의 구획, 사용자 및 그룹을 생성할 수 있습니다. 그런 다음 관리자는 그룹이 구획 내의 리소스를 사용하도록 허용하는 정책을 할당할 수 있습니다.
-
정책 :정책은 다음 액세스 수준으로 그룹 및 구획 수준에서 리소스에 액세스할 수 있는 사람을 정의합니다.
-
검사
-
읽기
-
사용
-
관리
-
-
지역 :리전은 IAM 리소스가 상주하는 지리적 위치입니다. IAM 서비스 리소스는 전역적이며 여러 리전에 걸쳐 단일 테넌시를 가질 수 있습니다. Oracle은 홈 리전의 변경 사항을 모든 리전에 전파합니다.
-
연맹 :연합은 ID 제공자 및 서비스 제공자 역할을 하는 둘 이상의 당사자 간의 메커니즘입니다. ID 공급자의 사용자 및 그룹을 관리합니다. IDCS는 기본적으로 OCI에 대한 연합을 제공합니다.
IAM 리소스
이 섹션에서는 리소스 소스, 리소스 식별자 및 리소스 제한에 대해 설명합니다.
자원 범위
IAM은 리소스를 전역으로 정의하기 때문에 모든 지역 및 가용성 도메인 구성 요소에서 사용할 수 있습니다.
리소스 식별자
OCI 리소스는 다음 구문과 함께 고유 이름(OCID)을 사용합니다.
ocid1.<resource-type>.<realm>.[region][.future-use].<unique-ID>
OCID 자리 표시자는 다음 요소를 포함합니다.
-
ocid1 :OCID 버전.
-
리소스 유형 :인스턴스, 볼륨, VCN, 서브넷, 사용자 또는 그룹과 같은 리소스 유형입니다.
-
영역 :영역에는 지역 집합이 포함되어 있으며 가용성 도메인이 있는 엔터티를 공유합니다. 영역은 다음 값을 가질 수 있습니다.
- oc1 :상업 영역
- oc2 :정부 클라우드 영역
- oc3 :연방 정부 클라우드 영역.
리소스 제한
IAM 제한은 가용성 도메인의 최대 Compute 인스턴스 수를 제어하는 IAM 리소스 할당량입니다.
지역별 임대 한도 및 사용량을 보려면 다음 단계를 수행하십시오.
- IAM 콘솔을 엽니다.
- 사용자 열기 메뉴를 클릭하고 임대를 클릭합니다. .
- 서비스 제한을 클릭합니다. .
인스턴스가 특정 리소스에 대한 서비스 한도에 도달하면 서비스 한도를 늘리고 필요에 따라 새 리소스를 생성하도록 요청을 제출할 수 있습니다.
서비스 한도 증가를 요청하려면 다음 단계를 수행하십시오.
- 도움말 열기 메뉴에서 지원으로 이동 , 서비스 한도 증가 요청을 클릭합니다. .
- 기본 연락처 세부정보
- 서비스 카테고리
- 리소스
- 요청 이유
ID 제공자와 연합
OCI는 다음 구성 요소 및 ID 공급자에 대한 연합을 지원합니다.
-
IDCS
-
Microsoft® Active Directory®
-
Microsoft Azure® Active Directory
-
옥타®
-
SAML(Security Assertion Markup Language) 2.0 프로토콜을 지원하는 ID 공급자
이 블로그 게시물의 예에서는 IDCS를 ID 공급자로 사용합니다.
IDCS와 연합하는 단계
IDCS와 연합하려면 다음 단계를 수행하십시오.
1단계:IDCS에서 필요한 정보 가져오기
-
관리자 권한으로 OCI IDCS 콘솔에 로그인합니다.
-
IDCS 콘솔에서 응용 프로그램을 클릭합니다. .
-
COMPUTEBAREMETAL을 클릭합니다. .
-
구성을 클릭합니다. .
-
일반 정보 확장 클라이언트 ID를 표시합니다.
-
비밀번호 표시를 클릭합니다. Client Secret을 보려면.
-
클라이언트 ID와 클라이언트 암호를 저장합니다.
2단계:OCI에 ID 공급자 추가
-
OCI 로그인 자격 증명으로 콘솔에 로그인합니다.
-
거버넌스 및 관리 열기 탐색 메뉴에서 Identity -> Federation을 클릭합니다. .
-
ID 공급업체 추가를 클릭합니다. .
- 이름 :이름은 모든 ID 제공자에서 고유해야 합니다. Oracle은 테넌시에 이름을 추가하며 사용자는 수정할 수 없습니다.
- 설명 :명확한 설명.
- IDCS 기본 URL :리소스 URL.
- 클라이언트 ID :이전에 수집한 클라이언트 식별자입니다.
- 클라이언트 비밀번호 :이전에 수집한 클라이언트 비밀번호입니다.
- 암호화 주장 :IDP에서 암호화를 활성화하려면 확인란을 선택합니다. 이 확인란을 선택하지 않으면 IDCS에서 주장의 암호화를 설정해야 합니다.
- 태그 :리소스 생성 권한이 있는 경우 태그를 적용할 수도 있습니다. 정의된 태그를 적용하려면 태그 네임스페이스를 사용할 수 있는 권한이 있어야 합니다.
연맹 이제 페이지에 테넌시 목록의 ID 공급자가 표시됩니다. Oracle은 각 그룹 매핑에 OCID를 할당합니다.
3단계:그룹에 대한 IAM 정책 설정
표준 절차에 따라 그룹에 대한 IAM 정책을 설정합니다.
4단계:연합 사용자에게 테넌트 및 URL 제공
페더레이션된 사용자에게 테넌트 이름과 로그인 URL을 제공합니다. URL은 다음 예와 유사해야 합니다.
https://console.us-cshburn-1.oraclecloud.com
콘솔에서 ID 공급자 관리
이 섹션에서는 ID 제공자를 삭제하고 IDCS에 대한 그룹 매핑을 추가, 업데이트 또는 삭제하는 단계를 제공합니다.
ID 제공자 삭제
ID 공급자를 삭제하려면 다음 단계를 수행하십시오.
- 임대에서 아이덴티티 공급자를 삭제합니다.
- 거버넌스 및 관리 열기 탐색 메뉴에서 Identity -> Federation을 클릭합니다. 테넌시의 ID 제공자 목록을 보려면
- 삭제하려는 ID 제공업체를 클릭하여 세부정보를 확인하세요.
- 삭제를 클릭합니다. 확인합니다.
- IDCS 계정에서 테넌시를 삭제합니다.
- IDCS 콘솔을 열고 연합 계정에 로그인합니다.
- 응용 프로그램을 클릭합니다. 응용 프로그램 목록을 표시합니다.
- 세입자를 찾고 이름을 클릭하면 세부정보 페이지가 표시됩니다.
- 비활성화를 클릭합니다. 확인합니다.
- 제거를 클릭합니다. 확인합니다.
IDCS에 대한 그룹 매핑 추가
IDCS에 대한 그룹 매핑을 추가하려면 다음 단계를 수행하십시오.
-
거버넌스 및 관리 열기 탐색 메뉴를 클릭하고 Identity를 클릭합니다. 테넌시의 ID 제공자 목록을 표시합니다.
-
제휴를 클릭합니다. 세부 정보를 보려면 IDCS 연맹 이름을 클릭하십시오.
-
제공업체 세부정보 수정을 클릭합니다. .
- + 매핑 추가를 클릭합니다. .
- Identity Provider Group에서 IDCS 그룹 선택 목록.
- IAM 그룹 선택 OCI 그룹 목록을 얻으려면.
- 새 OCI 그룹 선택 새 IAM 그룹이 아닌 IAM에 새 OCI 그룹을 만들고 새 OCI 그룹을 IDP 그룹에 매핑합니다.
그룹 매핑 업데이트 또는 삭제
그룹 매핑을 업데이트하거나 삭제하려면 다음 단계를 수행하십시오.
-
거버넌스 및 관리 열기 탐색 메뉴에서 Identity -> Federation을 클릭합니다. 테넌시의 ID 제공자 목록을 표시합니다.
-
세부 정보를 보려면 ID 제공자를 클릭하십시오.
-
매핑 수정을 클릭합니다. .
-
매핑을 업데이트하거나 X를 클릭합니다. 매핑을 삭제합니다.
-
제출을 클릭합니다. .
결론
이 블로그 게시물은 다양한 IAM 구성 요소가 함께 작동하는 방식과 OCI에서 여러 IDCS 계정을 연합하는 방법을 설명합니다.
피드백 탭을 사용하여 의견을 작성하거나 질문하십시오. 지금 채팅을 시작하여 대화를 시작할 수도 있습니다.
데이터베이스 서비스에 대해 자세히 알아보기