서비스 역할
서비스 역할은 특정 클라우드 서비스의 리소스만 제어하거나, 기능별로 권한을 세분화해 운영 책임을 분리할 때 사용하는 역할입니다.
서비스 역할은 조직 역할과 프로젝트 역할보다 하위 개념으로, 주로 리소스 접근 범위를 제한하거나 기능을 구분하기 위한 보조 권한 체계로 활용됩니다. 예를 들어, Object Storage에서 버킷 생성만 수행하거나 Kubeflow 설정 관리만 허용하려면, 해당 서비스의 전용 역할만 부여할 수 있습니다.
서비스 역할 유형
카카오클라우드는 각 서비스별 리소스 접근 권한을 세분화하여 관리할 수 있도록 다양한 서비스 역할을 제공합니다. 자세한 서비스별 적용 범위는 각 서비스 문서를 통해 확인하시기 바랍니다.
대부분의 서비스 역할은 프로젝트 단위에서 적용되지만, 일부 서비스는 조직 단위 또는 양쪽 모두에서 사용할 수 있습니다.
예를 들어, Billing은 결제 관리 기능에 따라 조직 및 프로젝트 단위 역할을 모두 제공하며, Alert Center는 알림 정책을 조직·프로젝트 단위로 각각 제어할 수 있습니다. Cloud Trail은 조직 단위에서만 사용할 수 있습니다.
| 역할 | 권한 | 포함하는 하위 역할 |
|---|---|---|
| 빌링 관리자 (Admin) | Billing 서비스에서 결제 수단, 크레딧 등록, 청구서 및 리소스 사용량 관리 ㄴ 자세한 권한은 Billing IAM 역할과 권한 참고 | 빌링 매니저, 빌링 뷰어 |
| 빌링 매니저 (Manager) | Billing 서비스에서 청구서, 사용량, 예상 요금 조회 | 빌링 뷰어 |
| 빌링 뷰어 (Viewer) | Billing 서비스에서 지정된 프로젝트의 예상 요금을 조회 | - |
| Object Storage 매니저 (Manager) | Object Storage에서 버킷 생성 및 목록 조회 ㄴ 버킷 관리 권한은 Object Storage IAM 역할에 따라 동작 | Object Storage 뷰어 |
| Object Storage 뷰어 (Viewer) | Object Storage에서 버킷 목록 조회 ㄴ 버킷 관리 권한은 버킷 별 설정에 따라 동작 | - |
| File Storage 매니저 (Manager) | File Storage의 모든 자원 생성, 조회, 수정, 삭제 ㄴ 자세한 권한은 File Storage IAM 역할 참고 | File Storage 뷰어 |
| File Storage 뷰어 (Viewer) | File Storage의 모든 자원 조회 | - |
| Kubeflow 관리자 (Admin) | Kubeflow 리소스 생성, 조회, 수정, 삭제 | - |
| Cloud Trail 트레일 뷰어 (Viewer) | Cloud Trail에서 조직 이벤트(프로젝트 생성·삭제, 로그인·로그아웃, 빌링 조회 등) 조회 ㄴ 자세한 권한은 Cloud Trail IAM 역할 관리 참고 | - |
| Alert Center 조직 매니저 (Manager) | Alert Center의 조직 단위 리소스(정책, 수신 채널 등) 관리 ㄴ 자세한 권한은 Alert Center IAM 역할 관리 및 알림 정책 참고 | Alert Center 조직 뷰어 |
| Alert Center 조직 뷰어 (Viewer) | Alert Center의 조직 단위 리소스 조회 | - |
| Alert Center 프로젝트 매니저 (Manager) | 프로젝트 단위의 알림 정책 관리, 수신 채널 설정, 발신 내역 조회 ㄴ 자세한 권한은 Alert Center IAM 역할 관리 및 알림 정책 참고 | Alert Center 프로젝트 뷰어 |
| Alert Center 프로젝트 뷰어 (Viewer) | 프로젝트 단위의 알림 정책, 수신 채널, 발신 내역 조회 | - |
| DNS 매니저 (Manager) | DNS 리소스 생성, 조회, 수정, 삭제 ㄴ 자세한 권한은 DNS IAM 역할 관리 참고 | DNS 뷰어 |
| DNS 뷰어 (Viewer) | DNS 리소스 조회 | - |
| KMS 매니저 (Manager) | KMS 리소스 생성, 조회, 수정, 삭제 ㄴ 자세한 권한은 KMS IAM 역할 관리 참고 | KMS 뷰어 |
| KMS 뷰어 (Viewer) | KMS 리소스 조회 | - |
| Secrets Manager 매니저 (Manager) | Secrets 리소스 생성, 조회, 수정, 삭제 ㄴ 자세한 권한은 Secrets Manager IAM 역할 관리 참고 | Secrets Manager 뷰어 |
| Secrets Manager 뷰어 (Viewer) | Secrets 리소스 조회 | - |
| IAM 조직 관리자 (Admin) | 조직 단위의 IAM 리소스 관리 ㄴ 조직 전체 사용자, 그룹, 프로젝트, 보안 설정 관리 ㄴ 사용자, 그룹, 역할, 서비스 계정 등 IAM 리소스 관리 가능 | IAM 조직 뷰어 |
| IAM 조직 뷰어 (Viewer) | 조직 단위 IAM 리소스 조회 ㄴ Management > IAM 메뉴에서 IAM 리소스 조회 | - |
| IAM 프로젝트 관리자 (Admin) | 프로젝트 단위의 IAM 리소스 관리 ㄴ 프로젝트 내 사용자, 그룹, 서비스 계정, 역할 관리 가능 | IAM 프로젝트 뷰어 |
| IAM 프로젝트 뷰어 (Viewer) | 프로젝트 단위 IAM 리소스 조회 ㄴ Project Management 메뉴에서 IAM 리소스 조회 | - |
역할 조합의 활용
최소 권한 원칙(Principle of Least Privilege) 에 따라, 사용자에게는 필수적인 권한만 포함된 역할을 선별적으로 부여하는 것이 권장됩니다.
하위 역할의 권한은 상위 역할에 포함되어 있으므로, 동일한 권한을 중복 부여할 필요는 없습니다.
다중 역할 부여는 각 역할의 권한 범위 또는 책임이 명확히 분리되어야 하는 경우에 한해 제한적으로 적용하는 것이 바람직합니다.
기본적인 조직 또는 프로젝트 역할과 서비스 전용 역할이 함께 부여된 경우에는, 조직, 프로젝트 역할을 기준으로 작동합니다. 아래는 서비스 역할이 포함된 주요 역할 조합과 권한 범위입니다.
| 역할 조합 | 설명 |
|---|---|
| 서비스 역할 (단독) | 해당 서비스 리소스에 대한 접근 및 제어 권한을 단독으로 가짐 → 프로젝트 또는 조직 역할 없이도 서비스 단위 작업 가능 |
| 프로젝트 관리자 + 서비스 뷰어 ❌ | ⚠️ 중복 부여: 프로젝트 관리자가 이미 대부분의 서비스 관리 및 조회 권한을 보유 → 서비스 전용 뷰어 역할 추가 부여 불필요, 프로젝트 관리자만 부여하는 것이 적절 |
| 프로젝트 리더 + 서비스 매니저 역할 | 프로젝트 전체 리소스에 대한 수정 권한은 없지만, 특정 서비스만 운영·관리 가능 → 서비스 단위로 운영 권한을 위임할 때 적합 예: 프로젝트 리더 + Object Storage 매니저 |
| 프로젝트 리더 + 서비스 뷰어 역할 ❌ | ⚠️ 중복 부여: 프로젝트 리더가 이미 대부분의 서비스 조회 권한을 보유 → 뷰어 역할 추가 부여 불필요, 프로젝트 리더만 부여하는 것이 적절 |