기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
액세스 제어의 유형
광범위하게 정의된 두 가지 모델인 역할 기반 액세스 제어(RBAC)와 속성 기반 액세스 제어(ABAC)를 사용하여 액세스 제어를 구현할 수 있습니다. 각 모델에는 장단점이 있으며,이 단원에서는 이에 대해 간략하게 설명합니다. 사용해야 하는 모델은 특정 사용 사례에 따라 다릅니다. 이 가이드에서 설명하는 아키텍처는 두 모델을 모두 지원합니다.
RBAC
역할 기반 액세스 제어(RBAC)는 일반적으로 비즈니스 로직과 일치하는 역할을 기반으로 리소스에 대한 액세스를 결정합니다. 권한은 역할에 적절하게 연결됩니다. 예를 들어 마케팅 역할은 사용자에게 제한된 시스템 내에서 마케팅 활동을 수행할 수 있는 권한을 부여합니다. 이는 쉽게 인식할 수 있는 비즈니스 로직에 잘 부합하기 때문에 구현해야 할 비교적 간단한 액세스 제어 모델입니다.
RBAC 모델은 다음과 같은 경우 효과가 떨어집니다.
-
여러 역할을 포함하는 고유한 사용자가 있습니다.
-
역할을 정의하기 어렵게 만드는 복잡한 비즈니스 로직이 있습니다.
-
대규모로 확장하려면 권한을 지속적으로 관리하고 새 역할 및 기존 역할에 매핑해야 합니다.
-
권한 부여는 동적 파라미터를 기반으로 합니다.
ABAC
속성 기반 액세스 제어(ABAC)는 속성을 기반으로 리소스에 대한 액세스를 결정합니다. 속성은 사용자, 리소스, 환경 또는 애플리케이션 상태와 연결할 수 있습니다. 정책 또는 규칙은 속성을 참조하며 기본 부울 로직을 사용하여 사용자가 작업을 수행할 수 있는지 여부를 결정할 수 있습니다. 다음은 권한의 기본 예입니다.
결제 시스템에서 재무 부서의 모든 사용자는 업무 시간 /payments 중에 API 엔드포인트에서 결제를 처리할 수 있습니다.
재무 부서의 멤버십은에 대한 액세스를 결정하는 사용자 속성입니다/payments. 또한 업무 시간 중에만 액세스를 허용하는 /payments API 엔드포인트와 연결된 리소스 속성이 있습니다. ABAC에서 사용자가 결제를 처리할 수 있는지 여부는 재무 부서 멤버십을 사용자 속성으로 포함하고 시간을 리소스 속성으로 포함하는 정책에 따라 결정됩니다/payments.
ABAC 모델은 동적, 컨텍스트 및 세분화된 권한 부여 결정을 허용하는 데 매우 유연합니다. 그러나 ABAC 모델은 처음에 구현하기가 어렵습니다. 규칙 및 정책을 정의하고 모든 관련 액세스 벡터의 속성을 열거하려면 상당한 선결제 투자가 필요합니다.
RBAC-ABAC 하이브리드 접근 방식
RBAC와 ABAC를 결합하면 두 모델의 몇 가지 이점을 얻을 수 있습니다. 비즈니스 로직과 매우 밀접하게 정렬되는 RBAC는 ABAC보다 구현하기가 더 간단합니다. 권한 부여 결정을 내릴 때 추가 세분화 계층을 제공하기 위해 ABAC를 RBAC와 결합할 수 있습니다. 이 하이브리드 접근 방식은 사용자의 역할(및 할당된 권한)을 추가 속성과 결합하여 액세스 결정을 내림으로써 액세스를 결정합니다. 두 모델을 모두 사용하면 권한 관리 및 할당을 간소화하는 동시에 권한 부여 결정과 관련된 유연성과 세밀성을 높일 수 있습니다.
액세스 제어 모델 비교
다음 표에서는 앞서 설명한 세 가지 액세스 제어 모델을 비교합니다. 이 비교는 유익하고 높은 수준의 비교를 위한 것입니다. 특정 상황에서 액세스 모델을 사용하는 것이이 표에서 이루어진 비교와 반드시 상관관계가 있는 것은 아닙니다.
팩터 |
RBAC |
ABAC |
하이브리드 |
유연성 |
중간 |
높음 |
높음 |
단순성 |
높음 |
낮음 |
중간 |
세부 수준 |
낮음 |
높음 |
중간 |
동적 결정 및 규칙 |
아니요 |
예 |
예 |
컨텍스트 인식 |
아니요 |
예 |
약간 |
구현 작업 |
낮음 |
높음 |
중간 |
