4. IAM Custom Role 생성/부여/관리

휴.. 반갑습니다. 며칠만이군요. 일단 구글 문서는 링크를 참고하시구요.

사실 금요일날 이사를 하고나니 의욕이 없어서 먹고 자고 싸고만 반복하다 보니 일요일이 됐네요 ㅎ..

음,, 지금도 많이 고민하는 주제인 Custom Role에 대해 제 생각을 써볼 생각입니다. 일단 어떤식으로 부여할 수 있는지 먼저 봐야겠죠?

 뭐 일단 IAM - Roles - CREATE ROLE을 눌러줍니다.(기본적으로 이미 생성되어 있는 다양한 역할들을 확인할 수 있습니다.)

보시면 Role launch stage, ADD PERMISSIONS가 결국 제일 중요합니다.

Role launch stage는 생성하려는 역할이 어떤 상태인지를 지정할 수 있는 기능입니다.(Alpha, Beta, GA, Disabled 상태로 구분)

근데 사실 관리 목적을 제외하면 크게 의미가 없습니다. 기능적으로는. 만약 사용하시는 곳에서 내부적인 기준이나 정책이 있다면 그것에 따라 부여하고 관리하시면 되는 거죠.

두 번째로 ADD PERMISSIONS를 클릭하면 아래와 같은 많은 권한을 볼 수 있습니다.

중요한 건 빨간 네모 박스 부분인데요. 모든 역할을 클릭하니 현재 기준으로 471개 역할, 2569개의 권한이 있다고 나오네요.(역할 안에 권한이 포함된 구조, 당연히 역할 간 소유 권한은 중복되는 경우 존재)

몇 가지 권한을 추가했고, 이제 CREATE 버튼을 클릭합니다.

오! 생성된 것을 볼 수 있습니다. 그럼 이제 역할을 특정 계정에 부여해봐야겠죠? IAM 메뉴로 들어간 후에 역할을 부여해줍니다.

기존에는 볼 수 없었던, Custom이라는 항목이 생겼고 저희가 생성한 역할이 있는 것을 볼 수 있습니다.(와우!) 이걸 부여하고 나면 아래와 같이 결과가 나오게 됩니다.

명령어나 API를 이용해 IAM을 제어하고 관리하는 걸 보여드리고 싶은데 솔직히 아직도 이사의 여파로 귀차니즘이 너무 많이 남아있는 상태입니다 ㅠㅠ.. 나중에 여유되면 다시 글 쓰는 걸로 하고,,

사실 중요한 건 이 Custom Role을 어떻게 하면 효율적으로 사용할 수 있을지 고민해보는 일이라고 생각합니다.

저도 회사에서 이걸 이용해서 뭔가 해보려고 했는데, 현실적으로 제가 DB Admin, DB Engineer, Compute Admin, Compute Viewer(작명은 제 맘대로 즉흥적인 거라 무시해주세요 ㅎ) 등 아무리 만들어 놓는다고 하더라도 아시겠지만 특히나 사기업에서 이런 권한류를 제어하고 부여하지 않는 게 상당히 쉽지 않습니다.(특정 누군가에게만 부여해주면 일 진행자체가 지연될 수도 있고, 그렇다고 필요할 때마다 부여하면 결국 관리가 안되고...)

그래서 생각한 게 방화벽, IAM 등등 뭔가 부여해주는 것에 있어서 기간을 부여해서 제어할 수 있는 무언가를 개발하면 좋겠다고 막연히 생각 중이긴 한데,, 상당히 쉽지 않은 부분입니다.

뭐 여튼 중간에 다른 길로 샜는데, 그냥 현재 갖고 있는 결론은 그냥 기본 역할 사용하는게 최고다. 라는 겁니다. 사실 적절한 권한 제어 서버나 프로그램이나 뭐 등등 이런게 없으면 Custom Role은 오히려 공수만 더 늘어나고 오히려 보안상 취약해지는 길이 될 수도 있기 때문이죠.

암튼 이번 글은 여기까지입니다. 맘먹고 해 보자! 마음먹어도 금세 질려버리는 나란 남자... 다른 공부 좀 하러 가봐야겠네요.

빠이!