NGINX One RBAC(Role Base Access Controle)

NGINX One 의 RBAC 시스템은 단순한 사용자 관리 수준을 넘어, 각 역할에 따른 접근 권한을 세밀하게 제어할 수 있는 구조를 제공합니다.
기본 제공되는 관리자(Admin), 사용자(User), 감시자(Monitor) 역할 외에도, 다양한 API 그룹을 기반으로 한 사용자 지정 역할(Custom Role)을 생성하여, 특정 네임스페이스 단위로 최소 권한 원칙을 구현할 수 있습니다.
이러한 RBAC 모델은 보안을 강화하고, 운영 효율성을 극대화하며, 규정 준수를 위한 체계적인 권한 관리 체계를 갖추고자 하는 조직에 최적화된 접근 방식입니다.

목차

1. 역할 기반 액세스 제어에 대해 알아보세요
2. 기본적인 역할
3. API Groups, Custom Roles 설정
4. 결론

1. 역할 기반 액세스 제어에 대해 알아보세요

역할 기반 접근 제어(RBAC)는 소프트웨어 애플리케이션 내 리소스에 대한 접근을 제어하는 보안 시스템입니다.

RBAC는 사용자 또는 사용자 그룹에 특정 역할을 할당함으로써, 인가된 사용자만이 특정 작업을 수행하거나 특정 영역에 접근할 수 있도록 합니다.

RBAC의 핵심 가치는 사용자에게 허용된 작업과 접근 범위를 명확하고 체계적으로 관리할 수 있다는 점에 있습니다. 이를 통해 보안 유지가 쉬워지고, 사용자 관리가 간소화되며, 내부 정책 또는 규제 요건에 따른 컴플라이언스도 더욱 용이하게 충족할 수 있습니다. 사용자가 자신의 역할을 수행하는 데 꼭 필요한 권한만 부여받도록 함으로써, 무단 접근의 위험을 줄이고 보다 효율적이고 안전한 운영 환경을 조성할 수 있습니다.

NGINX One Console에서는 F5 Distributed Cloud의 사용자 관리 시스템을 기반으로 접근 제어 및 권한 관리를 수행합니다.

접근 권한 설정 및 사용자 제어에 대한 일반적인 정보는 F5 Distributed Cloud 사용자 관리 문서에서 확인할 수 있으며, 해당 문서는 NGINX One Console 내에서 접근을 부여하거나 제한하는 방법에 대한 가이드 및 참고 자료를 제공합니다.

2. 기본적인 역할

• NGINX One Default Roles(기본 역할)

NGINX One Console에서는 다양한 접근 수준을 제공하기 위해 세 가지 기본 역할을 제공합니다.
이 기본 역할들은 NGINX One Console에 새로운 기능이 추가될 때마다 자동으로 업데이트되며, 특정 네임스페이스 단위로 범위를 제한할 수도 있습니다.

• Admin(관리자)

역할 ID: f5xc-nginx-one-standard-admin
NGINX One Console의 모든 기능과 엔드포인트에 대한 읽기 및 쓰기 권한을 갖습니다.
XC(F5 Distributed Cloud)의 관련 서비스에 대한 RBAC 설정 기능도 포함됩니다.

• User(사용자)

역할 ID: f5xc-nginx-one-user
대부분의 기능과 엔드포인트에 대해 읽기 및 쓰기 권한을 갖습니다.
단, 관리자 수준 기능(예: 인스턴스 설정 및 자동 정리 로직 설정 등)은 제외됩니다.

• Monitor(감시자)

역할 ID: f5xc-nginx-one-monitor
관리자 수준 기능을 제외한 모든 기능과 엔드포인트에 대한 읽기 전용 접근 권한을 갖습니다.
운영 상태 확인이나 감사용 사용자에게 적합한 역할입니다.

3. API Groups, Custom Roles 설정

기본 역할(Default roles) 외에도, NGINX One에 대한 접근 권한을 보다 정밀하게 제어할 수 있는 사용자 지정 역할(Custom roles)을 생성할 수 있습니다.
이러한 사용자 지정 역할은 개별 사용자 또는 서비스 계정에 할당할 수 있습니다.

또한, 각 역할을 특정 네임스페이스에 연동시켜 테넌트 전반에서 최소 권한 원칙(Least Privilege Principle)을 효과적으로 구현할 수 있습니다.
이러한 목적을 위해, NGINX One Console API에 대한 세분화된 접근 제어를 설정할 수 있도록 권한 지정을 위한 API 그룹 목록도 함께 제공합니다.

F5 API Groups For NGINX One

다음 표는 사용자 지정 역할(Role)을 구성할 때 사용할 수 있는 API 그룹 목록을 보여줍니다.
이 API 그룹들은 NGINX One Console의 기능과 특성에 맞춰 세분화된 범위로 구성되어 있으며,
특정 요구에 맞춘 맞춤형 역할을 생성하는 데 유용합니다.

참고: 이러한 API 그룹을 기반으로 사용자 지정 역할을 생성할 경우,
일부 웹 포털(브라우저 기반 콘솔)의 기능에 완전한 접근이 제한될 수 있습니다.

API 그룹 이름	권한 수준	설명
f5xc-nginx-one-application-monitor	Read	모든 기능과 데이터를 조회할 수 있습니다.
f5xc-nginx-one-application-settings	Write	설정을 조회하고 수정할 수 있습니다.
f5xc-nginx-one-application-write	Write	설정을 제외한 모든 기능을 조회하고 수정할 수 있습니다.
f5xc-nginx-one-custom-all-instances-metric-read	Read	모든 인스턴스의 메트릭을 조회할 수 있습니다. Overview 대시보드 사용에 필요합니다.
f5xc-nginx-one-custom-instance-list	Read	모든 인스턴스 목록 및 인증서 상태, CVE 등 요약 정보를 조회할 수 있습니다.
f5xc-nginx-one-custom-all-instances-manage	Write	모든 인스턴스를 조회 및 삭제할 수 있습니다.
f5xc-nginx-one-custom-instance-manage	Write	개별 인스턴스의 상세 정보를 조회하고 수정할 수 있습니다.
f5xc-nginx-one-custom-instance-read	Read	인스턴스 및 구성 정보를 조회할 수 있습니다.
f5xc-nginx-one-custom-certificate-manage	Write	TLS/SSL 인증서를 조회하고, 생성·수정·삭제할 수 있습니다.
f5xc-nginx-one-custom-certificate-read	Read	TLS/SSL 인증서를 조회할 수 있습니다.
f5xc-nginx-one-custom-all-certificates-manage	Write	모든 TLS/SSL 인증서를 조회하고, 관리 인증서를 삭제할 수 있습니다.
f5xc-nginx-one-custom-data-plane-key-manage	Write	데이터 플레인 키를 조회, 생성, 수정, 삭제할 수 있습니다. (단, 키 값은 생성 시에만 표시됩니다.)
f5xc-nginx-one-custom-data-plane-key-read	Read	데이터 플레인 키 정보를 조회할 수 있습니다. (키 값은 생성 시에만 표시됩니다.)
f5xc-nginx-one-custom-all-data-plane-keys-manage	Write	데이터 플레인 키를 조회하고 삭제할 수 있습니다.
f5xc-nginx-one-custom-cve-read	Read	NGINX 관련 CVE 정보를 조회할 수 있습니다.
f5xc-nginx-one-custom-config-sync-group-manage	Write	구성 동기화 그룹을 조회, 생성, 수정, 삭제할 수 있습니다.
f5xc-nginx-one-custom-config-sync-group-read	Read	구성 동기화 그룹을 상세 정보와 함께 조회할 수 있습니다.
f5xc-nginx-one-custom-all-config-sync-groups-manage	Write	모든 구성 동기화 그룹을 조회 및 삭제할 수 있습니다.
f5xc-nginx-one-custom-settings-manage	Write	NGINX One Console 설정을 조회하고 수정할 수 있습니다.
f5xc-nginx-one-custom-settings-read	Read	NGINX One Console 설정을 조회할 수 있습니다.
f5xc-nginx-one-custom-event-read	Read	NGINX One 이벤트를 조회할 수 있습니다.
f5xc-nginx-one-custom-ai-assistant	Write	F5 AI Assistant와 상호작용할 수 있습니다.
f5xc-nginx-one-custom-staged-config-manage	Write	Stage 구성(임시 구성)을 조회, 생성, 수정, 삭제할 수 있습니다.
f5xc-nginx-one-custom-staged-config-read	Read	Stage 구성을 조회할 수 있습니다.

4. 결론

현대의 애플리케이션 운영 환경에서는 다양한 사용자와 서비스가 동시에 리소스에 접근하며 복잡한 보안 요구사항을 충족해야 합니다. 이에 따라, 체계적이고 유연한 권한 관리는 필수 요소로 자리잡고 있습니다.
NGINX One은 이러한 요구를 충족하기 위해 역할 기반 접근 제어(RBAC: Role-Based Access Control)를 도입하여, 사용자 또는 서비스 계정의 권한을 정밀하게 제어할 수 있는 기능을 제공합니다.
기본 역할과 사용자 지정 역할, 그리고 세분화된 API 그룹 기반의 접근 정책 설정을 통해 보안성과 운영 효율성을 동시에 확보할 수 있으며, F5 Distributed Cloud와의 통합을 통해 기업 전반의 컴플라이언스를 지원합니다.