클라우드 인프라를 안전하게 공유하세요

계정 간에 안전한 방식으로 인프라를 공유할 수 있는 기능을 발표하게 되어 기쁩니다. 또한 공유 리소스에 대해 취할 수 있는 조치를 정의하여 세밀한 제어가 가능합니다. 이 새로운 기능을 통해 하나 이상의 다른 계정과 다양한 리소스 세트를 공유할 수 있습니다. 당사는 각 정책을 액세스 제어 목록(Access Control List) 또는 줄여서 ACL이라고 부릅니다. 필요에 따라 원하는 만큼 ACL을 생성할 수 있으며, 변경 사항은 실시간으로 적용되어 즉시 반영됩니다. 말할 필요도 없이 모든 ACL은 완전히 무료로 사용할 수 있습니다.

이 프레임워크는 단순하고 투명하며 유지 관리가 쉽도록 설계되었습니다. 진정한 보안은 사람들이 실제로 사용하고 적극적으로 유지 관리하는 도구에서 나오므로, 당사는 클라우드 인프라 공유에 이 원칙을 적용했습니다.

아래에 첫 번째 ACL을 설정하고 실행하는 데 도움이 되는 따라 하기 매우 쉬운 가이드와 YouTube 동영상 둘러보기를 포함했습니다. 저도 제 계정에서 동료들과 리소스를 공유하기 위해 직접 사용하고 있으므로 여러분도 문제없이 쉽게 시작하실 수 있을 것이라 확신합니다. 또한, 마지막에는 새로운 ACL 프레임워크를 활용할 수 있는 몇 가지 예시를 언급해 두었습니다.

안전한 공유를 위한 간단한 3단계

그럼 시작해 보겠습니다. ACL을 시작하기 위한 간단한 3단계 프로세스를 마련했습니다. 웹앱의 계정에 이미 적용되어 있는 새로운 섹션을 확인하실 수 있습니다:

클라우드 ACL: 클라우드 리소스를 안전하게 공유하기

1단계: 태그 생성

먼저, 공유하고자 하는 리소스를 식별하기 위한 태그를 설정해야 합니다. 웹앱의 태그(Tags) 섹션으로 이동하여 ‘create’ 버튼을 클릭합니다. 데이터베이스 서버를 공유하고자 한다고 가정하고 database라는 태그를 생성해 보겠습니다:

새로운 클라우드 인프라 태그 생성

이제 첫 번째 태그가 생성되었으며, 리소스(resources) 열 아래에 ‘0’이라고 표시된 것을 확인할 수 있습니다. 이는 아직 어떤 리소스도 태그하지 않았음을 의미합니다:

클라우드 인프라 태그

2단계: 클라우드 인프라 태그 지정

이제 컴퓨트(compute) 섹션으로 이동하여 태그를 추가할 데이터베이스 서버를 선택합니다(서버에 태그를 지정하면 해당 서버와 관련된 모든 드라이브 및 네트워킹 정책에도 자동으로 태그가 지정됩니다):

태그로 클라우드 서버 정리하기

이제 두 데이터베이스 서버에 태그가 성공적으로 추가된 것을 확인할 수 있습니다:

새 태그가 지정된 데이터베이스 클라우드 서버

3단계: 액세스 제어 목록(ACL) 생성

인프라에 태그를 지정했으므로 이제 리소스를 공유할 준비가 되었습니다. 다시 ACL 섹션으로 돌아가 create를 클릭하여 새 ACL을 추가할 수 있습니다:

클라우드 인프라를 위한 ACL 생성

액세스 제어 정책의 이름을 지정하고 부여할 권한을 설정합니다. 여기서는 시작/중지(start/stop), VNC 열기(open VNC, 시스템 복구에 유용), 편집(edit, 목록 조회 권한도 필요함)을 허용하겠습니다. 연결(attach)이나 복제(clone)는 허용하지 않으므로, 이 정책은 클라우드 서버 설정을 확장하거나 대대적으로 변경하기보다는 서버를 있는 그대로 관리하는 데 중점을 둡니다:

주니어 데이터베이스 관리자 ACL

이제 이 ACL에 database 태그를 추가해 보겠습니다:

ACL에 태그 연결하기

마지막으로, 이 정책에 데이터베이스 관리자를 추가하고 정책을 저장해야 합니다:

ACL에 사용자 추가하기

참고: 보안상의 이유로 UUID는 난독화 처리되었습니다.

이제 ACL이 활성화되어 설정한 리소스를 공유하고 있습니다. 서버 목록으로 돌아가면 데이터베이스 서버 이름 앞에 현재 활발히 공유되고 있음을 나타내는 아이콘이 나타난 것을 확인할 수 있습니다:

활발히 공유 중인 클라우드 서버

물론 상대방 측에서는 이제 공유된 클라우드 인프라가 데이터베이스 관리자(이 경우 CloudSigma 의 또 다른 공동 창업자인 Patrick!)의 계정에 나타나야 합니다:

이제 공유된 클라우드 서버가 표시됨

다음으로, 다른 사람과 공유 중인 리소스와 달리 귀하의 계정과 공유된 리소스를 나타내는 다른 아이콘을 확인할 수 있습니다. 또한 Patrick의 스토리지 섹션에서 해당 서버와 관련된 드라이브도 확인할 수 있습니다:

공유된 클라우드 서버의 드라이브

이제 Patrick은 VNC를 열고 제가 그에게 부여한 다른 작업들을 수행할 수 있습니다. 언제든지 데이터베이스 태그를 사용하여 인프라를 추가 및 제거하거나 부여된 권한을 변경할 수 있습니다. 또한 인프라에 여러 태그를 추가할 수 있으므로, 여러 태그가 지정되고 여러 정책이 적용된 서버를 갖는 것도 충분히 가능합니다.

사용 사례 1: 외부 계약업체

새로운 서비스를 개발하는 외부 계약업체와 협업하는 경우, 해당 프로젝트를 관리하는 데 필요한 인프라에만 접근할 수 있도록 허용하고 CloudSigma 계정 및 인프라 전체에 대한 권한은 부여하고 싶지 않을 수 있습니다. ACL을 사용하면 보안을 타협하지 않고 필요한 인프라를 안전하게 공유할 수 있습니다. 프로젝트를 위한 태그를 생성하기만 하면 됩니다. 이를 Project X라고 부르겠습니다. 다음으로, 새로 만든 Project X 태그를 공유하려는 모든 리소스에 지정하십시오. 마지막으로 ACL 섹션으로 이동하여 새 ACL을 생성합니다. 공유할 리소스와 그들이 수행해야 할 작업을 결정한 다음, 이메일과 UUID를 제공하여 해당 계정을 ACL에 추가합니다(십중팔구 그들에게 CloudSigma UUID를 요청해야 할 것입니다). 짜잔, 이제 그들의 계정에 Project X 인프라가 자동으로 나타납니다.

이제 프로젝트가 완료되었거나 계약업체가 떠났다고 가정해 보겠습니다. 리소스에서 Project X 태그를 제거하기만 하면 더 이상 공유되지 않으며, 또는 ACL에서 외부 계약업체를 제거할 수도 있습니다(정책에 원하는 만큼 많은 사람을 추가할 수 있으므로 정책은 유지하되 특정 개인만 제외할 수 있습니다). 아주 간단합니다.

사용 사례 2: 데이터베이스 관리자

이 예시에서는 역할 기반 권한 세트가 필요할 수 있습니다. 조직 내에서 특정 역할을 가진 사람이 자신에게 필요한 인프라에만 접근할 수 있고, 자신의 책임 범위를 벗어나는 다른 인프라에는 접근할 수 없어야 하기 때문입니다. 이는 이 게시물의 가이드(howto)에 설명된 것과 동일한 사용 사례이기도 합니다.

예를 들어, 데이터베이스 관리자가 인프라 내의 데이터베이스 서버에만 접근할 수 있도록 허용하고 싶다고 가정해 보겠습니다. 아주 간단합니다. 먼저 ‘database’라는 태그를 생성합니다. 둘째, 모든 데이터베이스 서버에 이 database 태그를 지정합니다. 마지막으로 부여하고자 하는 권한을 설정하는 ACL을 생성하고, 새로 만든 database 태그를 추가한 다음, 해당 ACL에 데이터베이스 관리자의 계정 정보를 추가합니다. 끝입니다.

가장 중요한 것은, 데이터베이스 관리자가 접근해야 하는 데이터베이스 서버가 추가로 있는 경우 해당 서버에 database 태그를 추가하기만 하면 된다는 점입니다. 그것으로 끝입니다. 권한은 실시간으로 ACL에서 자동으로 적용되며, 데이터베이스 관리자는 자신의 계정에서 접근 권한이 있는 새 데이터베이스 서버를 볼 수 있게 됩니다. 만약 접근 권한을 제거하고 싶다면 어떻게 해야 할까요? 간단히 database 태그를 제거하면 됩니다.

여러분도 저만큼 이 기능이 유용하다고 느끼시길 바랍니다. 도움이 필요하시면 연중무휴 24시간 이용 가능하며 ACL 기능에 매우 익숙한 실시간 채팅 지원팀에 문의해 주시기 바랍니다.

즐거운 컴퓨팅 되세요,

Robert