Identity & 접근 개요
MASS는 인증서 기반 ID 모델을 사용합니다. 스토리지에 접근하는 모든 사용자, 머신 또는 서비스는
TLS 인증서로 뒷받침되는 등록된 Identity를 가져야 합니다.
인증
MASS는 **상호 TLS(mTLS)**를 사용하여 클라이언트를 인증합니다. 인증서의 Common Name(CN)이
해당 Identity 리소스를 찾기 위한 기본 조회 키로 사용됩니다.
인증 소스:
- 로컬 (기본값): MASS 인증 기관이 관리하는 인증서
- LDAP: 엔터프라이즈 디렉터리 통합 (설정은 대시보드의 시스템 → 지원을 통해 MangoBoost에 문의)
- OIDC: OpenID Connect 프로바이더 통합 (설정은 대시보드의 시스템 → 지원을 통해 MangoBoost에 문의)
권한 부여
권한 부여는 2단계로 구성됩니다:
- 역할 (Identity 수준): 전역 시스템 역할이 identity가 수행할 수 있는 API 작업을 제어합니다
- AccessPolicy (리소스 수준): Volume에 대한 특정 데이터 권한(
read,write,delete)을 부여합니다
역할 계층
super_admin
├── storage_admin (인프라 관리)
├── identity_manager (사용자 및 정책 관리)
├── volume_manager (볼륨 생성 및 관리)
├── operator (운영 작업, 모니터링)
├── auditor (읽기 전용 감사 접근)
├── usergroup_admin (그룹 멤버십 관리)
├── viewer (모든 리소스 읽기 전용)
└── member (기본 접근, AccessPolicy를 통한 데이터 접근만 가능)
AccessPolicy 범위
system-wide
└── volumegroup (그룹의 모든 Volume에 적용)
└── volume (단일 Volume에만 적용)
AccessPolicy가 없는 member는 데이터에 접근할 수 없습니다. scope: volume과
permissions: [read, write]를 가진 AccessPolicy는 해당 ��특정 Volume에만 데이터 접근 권한을 부여합니다.
Identity 수명주기
PENDING_APPROVAL → ACTIVE → SUSPENDED → REVOKED
- PENDING_APPROVAL: Identity가 생성되었지만
identity_manager의 승인을 기다리는 중 - ACTIVE: 정상 운영 상태
- SUSPENDED: 시스템 접근이 일시적으로 차단됨
- REVOKED: 영구적으로 제거됨; TLS 인증서가 무효화됨