역할 레퍼런스
MASS의 모든 Identity에는 시스템 전체에서 수행할 수 있는 작업을 제어하는 역할이 있습니다. 역할은 Identity 생성 시 할당되며, 이후 언제든지 변경할 수 있습니다.
기본 제공 역할
| 역할 | 설명 |
|---|---|
super_admin | Identity 및 역할 관리를 포함한 전체 시스템 접근. 비상 상황에서만 사용하세요. |
storage_admin | VolumeGroup, Volume 생성 및 관리, 클러스터 전체 스토리지 설정 변경. |
operator | 운영 작업: 노드 모니터링, 하드웨어 상태 확인, 노드 라이프사이클 관리. |
volume_manager | Volume 및 VolumeGroup 생성·관리. 클러스터 설정 변경 불가. |
identity_manager | Identity 및 AccessPolicy 생성·관리. |
auditor | 감사 로그 및 시스템 상태에 대한 읽기 전용 접근. 설정 변경 불가. |
viewer | 모든 리소스에 대한 읽기 전용 접근. |
usergroup_admin | 그룹 멤버십 관리만 가능. |
member | 기본 역할. 시스템 권한 없음 — 데이터 접근은 AccessPolicy를 통해서만 부여됩니다. |
초기 설정 권장 사항
클러스터를 처음 설정할 때 다음 용도의 계정 생성을 권장합니다:
| 계정 용도 | 권장 역할 |
|---|---|
| 일상적인 스토리지 관리 | storage_admin |
| 사용자 및 접근 관리 | identity_manager |
| 모니터링 및 보고 | auditor 또는 viewer |
| 볼륨을 마운트하는 일반 사용자 | member (AccessPolicy를 통해 접근 부여) |
super_admin은 다른 관리자 계정을 사용할 수 없는 비상 상황을 위해 예약하고,
일상적인 작업에는 사용하지 마세요.
커스텀 역할
기본 제공 역할 외에도 조직의 필요에 맞게 커스텀 역할을 생성할 수 있습니다. 접근 → 역할 → + 역할 추가로 이동하여 특정 권한 집합을 정의한 역할을 만들 수 있습니다.
커스텀 역할을 통해 최소 권한 원칙을 적용하여, 각 Identity에 필요한 접근 권한만 부여하고 불필요하게 광범위한 기본 역할에 의존하지 않을 수 있습니다.