OCI 사용자 기본 설정(Feat. OCI IAM)

OCI 사용자 기본 설정(Feat. OCI IAM)

Oracle Cloud Infrastructure(이하 OCI) Tenancy를 생성하면, 사용가 ID가 두 개가 기본적으로 만들어 집니다. OCI Tenancy를 등록할 때 E-mail로 taewan.me@gmail.com을 설정했다면 다음과 같은 2개 사용자 ID가 만들어 집니다.

  • oracleidentitycloudservice/taewan.me@gmail.com
  • taewan.me@gmail.com

이번 문서에서는 두 개 사용자 ID가 무엇인지 알아보고, 앞으로 데모에 사용할 사용자 ID와 Group을 만들어 보겠습니다.

IDCS & OCI IAM

오라클 클라우드는 사용자 계정을 관리하는 IDCS(Identity Cloud Service)와 OCI IAM 서비스를 제공합니다. IDCS(Identity Cloud Service)는 오라클 클라우드 초기부터 계정 관리와 사용자 권한을 관리하는 체계였습니다. Gen2가 시작되면서 Oracle Cloud Infrastructure(OCI)가 새로운 인프라로 공개됐습니다. OCI안에서 사용자 계정과 권한을 제공하는 새로운 관리 서비스가 IAM입니다. 현재 IDCS는 IAM과 통합되어 있어 있으며, 점진적으로 IAM에 흡수되는 과정에 있습니다.

IDCS에서 만든 사용자 ID는 OCI IAM으로 페더레이션됩니다. IDCS는 IDCS Group을 OCI IAM 그룹에 매핍하는 기능을 제공합니다. 반대로 OCI IAM에서 생성한 사용자 ID는 IDCS에 페더레이션되지 않습니다.

기본 생성 OCI 사용자 ID

기본적으로 제공되는 두 개 사용자 ID 중에서 ‘oracleidentitycloudservice‘로 시작하는 사용자 ID는 IDCS(Identity Cloud Service)가 관리하는 사용자 ID입니다. 별도 접두사 없이 E-mail로 만들어진 사용자 ID는 OCI IAM(Identity and Access Management)이 관리하는 사용자 계정입니다.

두 ID는 관리하는 인증 서비스가 다르기 때문에 로그인 방식이 다릅니다. 다음 그림은 로그인 방식에 따라서 다른 사용자로 인증되는 과정을 설명합니다. 동일한 taewan.me@gmail.com로 로그인하더라도 로그인 옵션에 따라서 사용자 ID는 다음과 같이 달라집니다.

OCI 클라우드 관리자 ID

Administrators OCI 그룹에 소속된 OCI 사용자 ID를 OCI 관리자라고 합니다. OCI 관리자는 OCI Tenancy 전체 관리 권한을 갖습니다. 기본 생성 두 개 사용자 ID 중 taewan.me@gmail.comAdministrators OCI 그룹에 소속에 포함된 OCI 관리자 계정입니다.

IDCS가 만들고 IAM에 페더레이션된 사용자 ID는 ‘oracleidentitycloudservice/’ 형태를 갖습니다. 그리고 아래 그림과 같이 IDCS 그룹을 OCI IAM 그룹에 맵핑하는 기능을 제공합니다. 아래 그림에서 IDCS의 OCI_Administrators 그룹에 포함된 사용자 ID는 OCI IAM의 Administrators 그룹에 포함된 것으로 처리됩니다. 결과적으로 OCI Tenancy에 기본 생성된 두 개 사용자 ID는 모두 OCI 관리자 계정입니다.

OCI 사용자 ID 만들기

다음과 같은 사용자 ID를 OCI IAM으로 만들어 보겠습니다. 이 아이디는 앞으로 OCI 예제를 만들때 기본 사용자 ID로 사용할 것입니다.

IAM User ID 그룹 설명
developer01 develoeprs 개발자 ID로 사용
operator01 operators 운영자 ID로 사용
data_analyst01 data_analysts 데이터 분석가 ID로 사용
admin administrators OCI 관리자 ID

OCI 사용자 ID 생성

위 4개 사용자 ID 중에서 developer01을 예제로 만들어 보겠습니다. OCI Consone에서 햄버거 아이콘을 클릭하고 “ID -> 사용자” 메뉴 패스로 이동합니다.


사용자 ID를 추가하기 위해서 “사용자 생성” 버튼을 클릭합니다.


사용자 유형 선택에서 “IAM 사용자“를 선택하고, 이름으로 developer01을 입력합니다. 그리고 설명을 입력하고 “생성” 버튼을 클릭합니다.


사용자 ID가 생성되면 developer01 상세 페이지로 이동합니다. 앞으로 developer01로 OCI Console에 로그인하기 위해서는 비밀번호를 초기화해야 합니다. 비밀번호 초기화를 위하여 “비밀번호 생성/재설정” 버튼을 클릭합니다.


팝업 창에서 “비밀번호 생성/재설정” 버튼을 클릭합니다.


생성된 패스워드를 복사해 놓습니다. 이 패스워드는 앞으로 OCI Console에 로그인할 때 사용합니다.

OCI 사용자 그룹 생성

OCI Policy는 사용자 접근 및 권한 설정에 사용됩니다. Policy는 사용자 그룹 단위로 설정됩니다. 따라서 사용자 ID는 적절한 사용자 그룹에 할당돼야 합니다. develoeprs 그룹을 만들고 developer01을 이 그룹에 할당하겠습니다.

OCI Consone에서 햄버거 아이콘을 클릭하고 “ID -> 그룹” 메뉴 패스로 이동합니다.


그룹 페이지에서 그룹 생성 버튼을 클릭합니다.


그룹 생성 버튼을 클릭하면 오른쪽에서 출력되는 입력 창에 그룹 이름으로 developers를 설정하고, 간단한 설명을 입력합니다. 그리고 생성 버튼을 클릭합니다.


developers 그룹을 만든 다음에 developers 상세 페이지에서 그룹 사용자 추가 버튼을 클락합니다.


앞에서 생성한 developer01을 선택하고 “추가” 버튼을 클릭합니다.


developers 상세 페이지에서 그룹 사용자로 developer01이 추가된것을 확인할 수 있습니다.


https://cloud.oracle.com 에서 OCI IAM 로그인 섹션에 User Name에 developer01를 입력하고 앞에서 복사한 초기화 패스워드를 PASSWORD 입력 필드에 설정합니다. 그리고 Sign In 버튼을 클릭합니다.


시스템이 제공하는 초기화 패스워드로 로그인하면, 패스워드 재설정 페이지로 이동합니다. 이 페이지에서 현재 패스워드와 앞으로 사용할 새로운 패스워드를 입력한 다음에 Save New Password 버튼을 클릭합니다.


OCI Console에 로그인하면 현재 로그인한 사용자 정보를 확인할 수 있습니다.

지금까지 developer01 사용자와 developers 그룹을 만들고, 그룹에 사용자 설정 및 패스워드 초기화를 진행했습니다. 이 과정을 다음 표의 operator01과 data_analytics01, admin에 반복 합니다.

IAM User ID 그룹 설명 패스워드 예시
developer01 develoeprs 개발자 ID로 사용 Welcome123456!
operator01 operators 운영자 ID로 사용 Welcome123456!
data_analyst01 data_analysts 데이터 분석가 ID로 사용 Welcome123456!
admin administrators OCI 관리자 ID Welcome123456!

모든 작업이 완료되면 다음과 같은 상태가 됩니다.

요약

지금까지 OCI에 사용자를 관리하는 IDCS와 OCI IAM에 대해서 살펴보고, 관리자 ID가 무엇인지 확인했습니다. 그리고 앞으로 데모에 사용할 일반 계정인 developer01, opertator01, data_analyst01, admin을 만들고, 각 사용자 ID를 developers, operators, data_analysts, administrators 그룹에 할당하는 과정을 살펴보았습니다. 마지막으로 각 사용자 ID의 패스워드를 초기화하고 IAM 로그인 옵션으로 OCI Console에 로그인하는 과정을 확인했습니다.

여기에서 만든 OCI 사용자 ID는 앞으로 OCI 예제를 만들 때 기본 사용자 계정으로 사용할 것입니다.

김태완 avatar
작성자: 김태완
1999년 부터 Java, Framework, Middleware, SOA, DB Replication, Cache, CEP, NoSQL, Big Data, Cloud를 키워드로 살아왔습니다. 현재는 빅데이터와 Machine Learning을 중점에 두고 있습니다.
E-mail: taewanme@gmail.com

이 저작물은 Oracle과 관계없이 개인으로서 개인의 시간을 할애하여 작성된 글 입니다. 본 글의 내용, 입장, 예측은 Oracle을 공식적으로 절대 대변하지 않습니다.