Amazon DataZone의 도메인 단위 계층 구조에 있는 프로젝트 멤버십 정책
프로젝트 멤버십 정책은 도메인 단위 내의 프로젝트에 구성원으로 추가할 수 있는 개인 또는 그룹을 정의합니다. 이 주제에서는 계층 구조에서 개별 도메인 단위 및 도메인 단위와 관련된 정책의 영향에 대한 시나리오를 설명합니다.
이 주제에 사용되는 몇 가지 개념을 기록하는 것이 중요합니다.
-
멤버십 풀 - 프로젝트 멤버십 정책을 통해 액세스 권한이 부여된 위탁자(사용자 또는 그룹)는 프로젝트 멤버십 풀의 일부로 간주됩니다. 예를 들어 도메인 단위 DU1에 대한 정책이 사용자 U1 및 U2와 AWS Single Sign-On(SSO) 그룹 G1에 부여된 경우 DU1에 대한 프로젝트 멤버십 풀은 {U1, U2, G1}로 구성됩니다.
-
캐스캐이드 - 도메인 단위 계층 구조를 통해 연결된 모든 하위 도메인 단위에 권한을 전달하는 기능입니다.
-
권한 부여 - 사용자 또는 그룹이 작업을 수행할 수 있는 권한입니다.
시나리오 1 - 멤버십 풀이 {모든 사용자/그룹}으로 구성되므로 도메인 단위 1의 프로젝트에 모든 사용자 또는 그룹을 추가할 수 있습니다.
시나리오 2 - 사용자 {U1, G1}은 도메인 단위 2의 멤버십 풀에 속하므로 도메인 단위 2의 프로젝트에 추가할 수 있습니다. {U3, G2} 사용자는 멤버십 풀에 속하지 않으므로 프로젝트에 추가할 수 없습니다.
시나리오 3 - 멤버십 풀 교차: 서로 다른 도메인 단위 계층 구조 수준에 멤버십 풀이 있는 경우 모든 멤버십 풀에 있는 사용자 및 그룹만 프로젝트에 추가할 수 있습니다.
-
두 멤버십 풀에서 사용자의 교차점은 {U1, U2, G1}입니다.
-
사용자 {U1, U2, G1}은 도메인 단위 3에서 프로젝트에 추가할 수 있습니다.
-
모든 사용자 및 모든 그룹이 루트 도메인 단위 수준에서 멤버십 풀에 있더라도 {U3, G2} 사용자는 도메인 단위 3의 프로젝트에 추가할 수 없습니다.
시나리오 4 - 멤버십 풀 교차: 서로 다른 도메인 단위 계층 구조 수준에 멤버십 풀이 있는 경우 모든 멤버십 풀에 있는 사용자 및 그룹만 프로젝트에 추가할 수 있습니다.
-
두 멤버십 풀에서 사용자의 교차점은 {U1, U2, G1}입니다.
-
도메인 단위 4의 멤버십 풀은 {모든 사용자 / 그룹}이지만 멤버십 풀은 루트 도메인 {U1, U2, G1}의 멤버십 풀 이상으로 확장할 수 없습니다.
-
모든 사용자 및 모든 그룹이 도메인 단위 4의 멤버십 풀에 있더라도 {U3, G2} 사용자는 도메인 단위 4의 프로젝트에 추가할 수 없습니다.
시나리오 5 - 사용자 {U1, G1}은 루트 도메인과 도메인 단위 5 간의 멤버십 풀 교차의 일부이므로 프로젝트 5에 추가할 수 있습니다. 세 멤버십 풀의 교차점이 비어 있으므로 프로젝트 6에 사용자/그룹을 추가할 수 없습니다.
시나리오 6 - 세 멤버십 풀 모두의 교차점은 프로젝트 8에 사용자 {U1}만 추가할 수 있음을 의미합니다. 도메인 단위 8에 대한 의 교차 풀은 {U1}, {U1}, {U1, U2}이며, 3개에 걸쳐 {U1}만 공통입니다.
시나리오 7 - {U1, U2, G1} 사용자는 루트 도메인의 멤버십 풀의 일부로 루트 도메인의 프로젝트에 추가할 수 있습니다. 멤버십 풀이 {All Users/Groups}로 구성되므로 도메인 단위 9의 모든 사용자 또는 그룹을 프로젝트에 추가할 수 있습니다. 그 위의 루트 도메인에서 캐스케이드가 false로 설정되어 있기 때문입니다.
