OCI 사용자 패스워드 변경 주기 설정
Oracle Cloud Infrastructure(이하 OCI)는 웹 기반 클라우드 서비스 관리 페이지를 제공하며, 이 웹 페이지를 OCI Console이라고 부릅니다. OCI Console은 ID/패스워드로 OCI 사용자를 인증합니다. OCI Console은 인증에 사용되는 패스워드를 주기적으로 변경하도록 강제합니다. 기본 변경 주기는 120일이며, 설정 주기마다 OCI 사용자를 패스워드를 변경해야 합니다. 이 문서에서는 OCI의 사용자 패스워드 설정을 관리하는 Password Policy 관리 페이지에 이동하는 방법과 패스워드 변경 주기를 변경하는 설정법을 정리합니다.
패스워드 변경 주기에 도달한 OCI 사용자는 다음 이미지와 같이 OCI Console에서 사용자 인증할 때, 패스워드 변경 페이지로 이동됩니다. 이 경우에 OCI Console에 로그인하기 위해서는 반드시 패스워드를 변경해야 합니다.
이 문서에서 다루는 내용은 OCI Free Trial에 적용 가능합니다.
OCI 사용자 관리 체계
오라클 클라우드는 IDCS(Identity Cloud Service)와 OCI IAM 서비스로 사용자 계정을 관리합니다. IDCS(Identity Cloud Service)는 오라클 클라우드 초기부터 계정 관리와 사용자 권한을 관리하는 체계였고, 오라클 클라우드 Gen2가 시작되면서 Oracle Cloud Infrastructure(OCI)를 새로운 클라우드 인프라로 공개했니다. OCI의 사용자 계정과 권한을 제공하는 새로운 관리 서비스가 IAM입니다. 현재 IDCS는 IAM과 통합되어 있어 있습니다.
IDCS와 IAM: 사용자 ID
IDCS와 OCI IAM 서비스로 OCI 클라우드 계정(Account)의 사용자 ID를 만들 수 있습니다. IDCS로 만든 사용자 ID는 OCI IAM에 페더레이션(Federation)됩니다. 즉 IDCS로 생성한 사용자는 OCI IAM 사용자 ID로 등록됩니다. OCI Console에 로그인한 사용자 ID가 IDCS 관리를 받는 ID인지 OCI IAM이 만들고 관리하는 ID인지 구별하는 방법은 다음과 같습니다.
OCI Console 로그인 페이지의 로그인 영역으로 사용자 ID의 IDCS 관리와 OCI IAM 관리를 구분할 수 있습니다.
- IDCS 관리 사용자 ID: Single Sign-On 영역에서 로그인
- OCI IAM 관리 사용자 ID: Oracle Cloud Infrastructure 영역에서 로그인
OCI Console에서 로그인한 다음에 출력되는 사용자 명으로 IDCS 관리와 OCI IAM 관리를 구분할 수 있습니다. OCI Console의 오른쪽 위에 사용자 프로파일 아이콘을 출력하면 다음 이미지와 같은 로그인 사용자 명이 출력됩니다. 이름 패턴으로 IDCS 관리와 OCI IAM 관리를 구분합니다.
- IDCS 관리 사용자 ID: oracleidentitycloudservice/ + 로그인ID 패턴 출력
- OCI IAm 관리 사용자 ID: 로그인 ID 출력
OCI 관리자 ID
OCI 관리자 ID는 OCI Tenancy 전체를 관리하는 최고 권한을 갖습니다. OCI IAM 관리 사용자 ID의 경우 Administrators OCI 사용자 그룹에 소속된 OCI 사용자 ID를 OCI 관리자 ID라고 합니다.
IDCS는 IDCS 그룹을 OCI IAM 그룹에 맵핑하는 기능을 제공합니다. 아래 그림에서 IDCS의 OCI_Administrators 그룹에 포함된 IDCS 관리 사용자 ID는 OCI IAM의 Administrators 그룹에 포함된 것으로 처리됩니다. 다음 이미지는 IDCS 사용자 ID에 OCI_Administrations 그룹을 설정하고 IDCS의 OCI Administrations 그룹을 OCI IAM의 Administrations 그룹에 매핑하는 과정입니다.
IDCS OCI_Administrations 그룹과 OCI IAM Administrations 그룹은 기본 설정되어 있습니다.
패스워드 관리 정책
IDCS와 OCI IAM은 각각 자신이 관리하는 사용자 ID의 패스우드 관리 정책을 설정하는 방법을 제공합니다. 인증 패스워드 관리 정책을 확인하거나 변경하는 작업은 OCI 관리자 ID로 진행해야 합니다.
OCI IAM: 인증 설정
OCI IAM은 사용자 인증 패스워드를 구성하는 패턴을 설정을 관리하는 방법을 제공합니다. 다음 이미지와 같이 OCI 햄버그 아이콘 -> ID -> 인증설정 메뉴 패스로 인증 설정 변경 페이지에 이동할 수 있습니다. 이 페이지에서 다음과 같은 항목을 조정할 수 있습니다.
- 패스워드 최소 길이
- 숫자 포함 패턴
- 특수문자 포함 패턴
- 소문자 포함 패턴
- 대문자 포함 패턴
OCI IAM의 경우 주지적인 패스워드 변경 설정은 지원하지 않습니다.
IDCS: Password Policy
IDCS는 상당히 섬세한 Passw ord Policy 설정 기능을 제공합니다. Password Policy를 관리하기 위해서는 우선 IDCS 관리 페이지로 이동해야 합니다. 그리고 IDCS 관리 페이지에서 제공하는 Password Policy 링크로 패스워드 정책 관리 페이지로 이동합니다. 패스워드 정책 관리 페이지로 이동하는 방법은 다음과 같습니다.
- [OCI Console]사용자 프로파일 아이콘 클릭 -> 서비스 사용자 콘솔 클릭
- My Oracle Services에서 Identity Cloud Serive의 Admin Console__ 클릭
- Identity Cloud Service 관리 페이지에서 Password Policy 링크 클릭
Password Policy 관리 페이지에서 다음과 같은 패스워드 규칙을 설정할 수 있습니다.
- 패스워드 최소 길이
- 패스워드 최대 길이
- 패스워드 말소 기간
- 인증 실패 시도 횟수: 인증 실회시 사용자 ID에 Lock 설정
- Lock 설정 기간
- 이전 패스워드 유지 개수
- 최소 알파벳 수
- 최소 숫자 수
- 최소 특수 문자 수
- 최소 소문자 수
- 최소 대문자 수
- 최대 반복 횟수
- 패스워드 알파벳으로 시작 여부
- 공백문자 포함 여부
- 패스워드 설정 제약어 등록
Password Policy 관리 페이지 설정 항목은 다음과 같습니다.
IDCS: 패스워드 변경 주기 설정
IDCS의 Password Policy 관리 페이지에서 패스워드 재설정 주기(Expire After)를 설정할 수 있습니다. 보안 강하를 위해서는 이 주기를 짧게 유지하는 것이 좋습니다. Expire After의 기본값은 120입니다. 120일마다 패스워드를 재설정하도록 강제합니다. 이 항목은 일단위로 변경이 가능합니다.
패스워드 재설정 주기가 필요 없거나 불편하시다면 느껴지신다면 Expire After 항목을 0으로 설정하시기 바랍니다. Expire After 항목을 0으로 설정하면 주기적인 패스워드 재설정 기능은 비활성화됩니다.