Understanding Policy

이 페이지에서는 Policy에 대해 상세하게 살펴봅니다.

Policy

Policy는 SpaceONE 자원에 대해 특정한 동작을 수행할 수 있도록 정의된 permissions의 set 입니다. Permission은 Cloud Resource에 대해 관리할 수 있는 범위를 정의 합니다. 권한관리 체계에 대한 전반적인 설명은 Role Based Access Control을 참고 해주세요.

Policy Type

한번 정의된 Policy는 다른 도메인의 Role에서 사용할 수 있도록 공유 할 수 있습니다. 이것의 가능 여부에 따라 Policy는 두 가지 타입으로 구분 됩니다.

  • MANAGED : Repository 서비스에 Global하게 정의된 Policy로서, Policy를 전체 시스템 Admin이 직접 관리 하여 공유합니다. 대부분의 사용자들이 활용하기 편리한 공통 policy 입니다.
  • CUSTOM : 도메인별로 Permission을 자체 정의한 Policy를 사용할 수 있습니다. 각 도메인별로 세부적인 permission을 관리 하기에 유용합니다.

Policy는 Permission Scope에 따라 아래와 같이 구분 가능 합니다.

  • Basic : SpaceONE내의 모든 자원에 대해 전반적인 permission을 포함하고 있습니다.
  • Predefined : 특정한 서비스(alert manager, billing 등)에 대한 세분화된 permission을 포함 합니다.

Managed Policy

아래의 Policy는 SpaceONE 팀에 의해 관리되는 Managed Policy의 전체 리스트 입니다. 상세 Permission은 필요시 자동으로 업데이트 됩니다. Policy는 조직내의 주요 역할에 따라 분류하여 생성 하였습니다.

Policy TypePolicy NamePolicy IdPermission DescriptionReference
MANAGED-BasicDomain Admin Accesspolicy-managed-domain-admin
아래를 제외한 모든 권한을 가짐
Domain을 생성/삭제
api_type이 SYSTEM/NO_AUTH
DomainOwner를 관리(생성/변경/삭제)
플러그인 관리 identity.Auth Plugin 관리(변경)		policy-managed-domain-admin
MANAGED-BasicDomain Viewer Accesspolicy-managed-domain-viewerDomain Admin Access 권한중 읽기 권한policy-managed-domain-viewer
MANAGED-BasicProject Admin Accesspolicy-managed-project-adminDomain Admin Access Policy에서 아래 Permission 제외
Provider를 관리(생성/변경/조회/삭제)
Role/Policy를 관리(생성/변경/삭제)
플러그인 관리 inventory.Collector (생성/변경/삭제)
플러그인 관리 monitoring.DataSource (생성/변경/삭제)
플러그인 관리 notification.Protocol (생성/변경/삭제)		policy-managed-project-admin
MANAGED-BasicProject Viewer Accesspolicy-managed-project-viewerProject Admin Access Policy의 Permission중 읽기 권한policy-managed-project-viewer
MANAGED-PredefinedAlert Manager Full Accesspolicy-managed-alert-manager-full-accessAlert Manager에 대한 모든 접근 권한policy-managed-alert-manager-full-access

Custom Policy

도메인 자체적 으로 Policy를 관리 하고자 할 경우, Custom Policy 관리하기 문서를 참고 해 주세요.