권한 있는 액세스 역할 및 권한 있는 계정

목차
cminder12901kr
목차
권한 있는 액세스 역할을 사용하여 각 사용자가
Privileged Identity Manager
엔터프라이즈 콘솔에서 수행할 수 있는 SAM 작업과 각 사용자가 체크 인 및 체크 아웃할 수 있는 권한 있는 계정을 지정합니다.
Privileged Identity Manager
엔터프라이즈 콘솔에는 미리 정의된 권한 있는 액세스 역할이 포함되어 있습니다. 용도에 맞게 이 미리 정의된 역할을 수정하거나 새 역할을 만들 수 있습니다.
사용자가
Privileged Identity Manager
엔터프라이즈 콘솔에 로그인하면 자신의 역할과 일치하는 작업 및 권한 있는 계정만 볼 수 있습니다.
권한 있는 액세스 역할 사용
회사에서 SAM을 설정하기 전에 다음 사항을 고려해야 합니다.
  • 사용자 저장소로 Active Directory를 사용하고 Active Directory의 그룹을 가리키도록 각 역할에 대한 구성원 정책을 수정하는 것이 좋습니다. 이 방법으로 설정하는 역할에서 사용자를 추가 또는 제거하려면 Active Directory 그룹에서 사용자를 추가 또는 제거합니다. 이렇게 하면 관리 오버헤드를 줄일 수 있습니다.
  • Active Directory를 사용자 저장소로 사용하는 경우
    Privileged Identity Manager
    엔터프라이즈 콘솔에서 사용자 또는 그룹을 만들거나 삭제할 수 없습니다. Active Directory에서만 사용자 및 그룹을 만들고 삭제할 수 있습니다.
  • 역할에 정의된 구성원 정책이 있고 SAM 사용자 관리자가 사용자에게 특정 역할을 할당하지만 사용자가 구성원 정책의 범위에 맞지 않는 경우
    Privileged Identity Manager
    는 역할을 사용자에게 할당하지 않습니다. 구성원 정책에 정의된 규칙은 SAM 사용자 관리자 할당보다 우선 순위가 높습니다.
  • 권한 있는 계정 요청에 응답하려면 사용자는 SAM 승인자 역할을 가져야 하며 요청하는 사용자의 관리자여야 합니다. 포함된 사용자 저장소를 사용하는 경우
    Privileged Identity Manager
    엔터프라이즈 콘솔의 "사용자 만들기" 및 "사용자 수정" 작업에서 사용자의 관리자를 지정할 수 있습니다.
  • 기본적으로
    Privileged Identity Manager
    는 모든 사용자에게 Break Glass, SAM 승인자, 권한 있는 계정 요청, SAM 사용자 역할을 할당합니다. 이 설정을 변경하려면 각 역할에 대한 구성원 정책을 수정하십시오.
  • 특정 끝점 및 역할이 액세스할 수 있는 권한 있는 계정을 정의하기 위해 역할에 대한 범위 규칙을 수정할 수 있습니다. 범위 규칙을 사용하면 회사 전체에서 권한 있는 계정에 대한 세부적인 액세스를 구현할 수 있습니다. 범위 규칙은 역할의 구성원 정책에 정의됩니다.
권한 있는 액세스 역할이 작업 체크 아웃 및 체크 인에 주는 영향
끝점에서 관리 작업을 수행하기 위해 공유 계정을 체크 아웃하고 끝점에서 작업을 완료한 다음 공유 계정을 체크 인합니다.
중요!
사용자에게는 끝점 유형에서 작업을 수행하기 위한 끝점 권한 있는 액세스 역할이 있어야 합니다. 끝점 권한 있는 액세스 역할은 권한 있는 액세스 계정을 사용하여 사용자가 작업을 수행할 수 있는 끝점의 유형을 지정합니다.
예를 들어, 사용자에게 Windows 끝점 권한 있는 액세스 역할을 할당하면 사용자는 공유 계정을 사용하는 Windows 끝점에서 끝점 작업을 수행할 수 있습니다. Break Glass, 권한 있는 계정 요청 또는 SAM 사용자 역할을 사용자에게 할당하는 경우 사용자에게 끝점 권한 있는 액세스 역할도 할당해야 합니다. 그렇지 않으면 사용자가 어떠한 작업도 완료할 수 없습니다.
다음 프로세스는 권한 있는 액세스 역할이 사용자가 수행하는 체크 아웃 및 체크 인 작업에 주는 영향에 대해 설명합니다.
  1. 사용자는 다음 방법 중 하나를 사용하여 공유 계정을 체크 아웃합니다.
    • SAM 사용자 역할이 있는 사용자가 계정을 체크 아웃합니다.
    • Break Glass 역할이 있는 사용자가 break glass 체크 아웃을 수행합니다.
    • CLI 암호 소비자와 같은 응용 프로그램이
      Privileged Identity Manager
      끝점에서 계정을 체크 아웃합니다.
    공유 계정이 체크 아웃됩니다. 참고: 사용자가 Break Glass 체크 아웃을 수행하면
    Privileged Identity Manager
    는 역할 소유자에게 알립니다. 역할 소유자는 감사를 위해 이 메시지에 정보를 추가할 수 있습니다.
  2. 사용자는 다음 방법 중 하나를 사용하여 공유 계정을 체크 인합니다.
    • SAM 사용자 역할이 있는 사용자가 계정을 체크 인합니다.
    • Break Glass 역할이 있는 사용자가 계정을 체크 인합니다.
    • Privileged Identity Manager
      끝점에 있는 응용 프로그램이 계정을 체크 인합니다.
    • SAM 대상 시스템 관리자 역할이 있는 사용자가 계정을 강제로 체크 인합니다.
    공유 계정이 체크 인됩니다.
다음 다이어그램은 권한 있는 액세스 역할이 사용자가 수행하는 작업의 체크 인 및 체크 아웃에 주는 영향을 설명합니다.
How privileged access roles affect the check in and check out tasks that users perform
예: 공유 계정 체크 아웃
본인에게 시스템 관리자 역할이 있습니다. Joe에게 SAM 사용자 역할과 Windows Agentless 연결 끝점 권한 있는 액세스 역할을 할당합니다. Joe가
Privileged Identity Manager
엔터프라이즈 콘솔에 로그인하고 Windows 끝점에서 공유 계정을 체크 아웃하고 체크 인할 수 있는 작업만 살펴봅니다.
예: 공유 계정에 대한 Break Glass
본인에게 시스템 관리자 역할이 있습니다. Fiona에게 Break Glass 역할과 Oracle 서버 연결 끝점 권한 있는 액세스 역할을 할당합니다. Fiona는 Oracle 끝점에 즉시 액세스해야 합니다. Fiona가
Privileged Identity Manager
엔터프라이즈 콘솔에 로그인하여 Oracle 끝점에서 계정에 대한 Break Glass 체크 아웃을 수행할 수 있는 작업만 살펴봅니다. Fiona는 Oracle 권한 있는 계정에 대해 Break Glass 체크 아웃을 수행하고
Privileged Identity Manager
는 Break Glass 역할 소유자에게 알림 메시지를 보냅니다.
참고:
기본적으로 Break Glass 역할 소유자는 시스템 관리자 관리 역할입니다.
권한 있는 액세스 역할이 공유 계정 요청 작업에 주는 영향
사용자가 공유 계정을 체크 아웃할 수 없고 계정에 즉시 액세스할 필요가 없는 경우 사용자는 공유 계정 요청을 제출할 수 있습니다. 관리자는 이 요청을 승인 또는 거부할 수 있습니다. 이 항목에서는 사용자가 공유 계정 요청 작업을 수행하기 위해 필요한 권한 있는 액세스 역할에 대해 설명합니다.
중요!
사용자에게는 끝점 유형에서 작업을 수행하기 위한 끝점 권한 있는 액세스 역할이 있어야 합니다. 끝점 권한 있는 액세스 역할은 권한 있는 액세스 계정을 사용하여 사용자가 작업을 수행할 수 있는 끝점의 유형을 지정합니다.
예를 들어, 사용자에게 Windows 끝점 권한 있는 액세스 역할을 할당하면 사용자는 공유 계정을 사용하는 Windows 끝점에서 끝점 작업을 수행할 수 있습니다. Break Glass, 권한 있는 계정 요청 또는 SAM 사용자 역할을 사용자에게 할당하는 경우 사용자에게 끝점 권한 있는 액세스 역할도 할당해야 합니다. 그렇지 않으면 사용자가 어떠한 작업도 완료할 수 없습니다.
다음 프로세스는 권한 있는 액세스 역할이 사용자가 수행할 수 있는 공유 액세스 요청 작업에 주는 영향에 대해 설명합니다.
  1. 공유 액세스 요청 역할이 있는 사용자가 권한 있는 계정에 대한 액세스를 요청합니다.
  2. Privileged Identity Manager
    는 공유 계정 요청을 사용자의 관리자(SAM 승인자 역할도 필요함)에게 보냅니다.
    참고:
    공유 계정 요청을 받으려면 SAM 승인자 역할이 있어야 하는 동시에 해당 사용자의 관리자여야 합니다.
  3. SAM 승인자 역할이 있는 사용자가 요청에 응답하고 다음 중
    하나
    를 수행합니다.
    • 공유 계정 요청을 거부합니다.
      권한 있는 계정 요청 역할이 있는 사용자가 공유 계정을 체크 아웃할 수 없습니다.
    • 공유 계정 요청을 예약합니다.
      다른 사용자가 이 요청을 승인 또는 거부할 수 없습니다. SAM 승인자가 요청을 승인할 때까지 권한 있는 계정 요청 역할이 있는 사용자가 공유 계정을 체크 아웃할 수 없습니다.
    • 공유 계정 요청을 승인합니다.
      권한 있는 요청 역할이 있는 사용자에게 공유 계정 예외가 부여되어 사용자가 계정을 체크 아웃 및 체크 인할 수 있습니다.
  4. 다음 이유 중 하나로 인해 공유 계정 예외가 만료됩니다.
    • 공유 계정 예외에 지정된 만료 시간에 도달했습니다.
    • SAM 대상 시스템 관리자 역할이 있는 사용자가 공유 계정 예외를 삭제합니다.
    권한 있는 계정 요청 역할이 있는 사용자가 더 이상 공유 계정을 체크 아웃할 수 없습니다.
다음 다이어그램은 권한 있는 액세스 역할이 사용자가 수행할 수 있는 공유 계정 요청 작업에 주는 영향에 대해 설명합니다.
How privileged access roles affect shared account request tasks
예: 공유 계정 요청 및 이 요청에 응답
본인에게 시스템 관리자 역할이 있습니다. Alice에게 공유 계정 요청 역할과 SSH 장치 연결 끝점 권한 있는 액세스 역할을 할당합니다. Alice의 관리자인 Bob에게 SAM 승인자 역할을 할당합니다.
Alice가
Privileged Identity Manager
엔터프라이즈 콘솔에 로그인하고 UNIX 끝점의 계정에 대한 공유 계정 요청을 제출할 수 있는 작업만 살펴봅니다. Alice가 UNIX 끝점의 example_ux 계정에 대한 공유 계정 요청을 제출합니다.
Bob이
Privileged Identity Manager
엔터프라이즈 콘솔에 로그인하여 공유 계정 요청에 응답할 수 있는 작업만 살펴봅니다. Bob이 Alice의 공유 액세스 요청을 승인하고 공유 계정 예외가 오후 6시까지 유효하도록 지정합니다. Alice는 이제 example_ux 계정에 체크 인 및 체크 아웃할 수 있습니다. 오후 6시에 공유 계정 예외가 만료되고 Alice는 더 이상 example_ux 계정을 체크 아웃할 수 없게 됩니다.
Break Glass 프로세스가 작동하는 방법
사용자가 관리 권한이 없는 계정에 즉시 액세스해야 하는 경우 Break Glass 체크 아웃을 수행합니다.
Break Glass 계정은 사용자 역할에 따라 사용자에게 할당되지 않은 공유 계정입니다. 하지만 사용자는 필요한 경우 이 계정 암호를 획득할 수 있습니다.
Break Glass 체크 아웃 프로세스 중에 Break Glass 체크 아웃 프로세스가 발생했음을 알리는 알림 메시지가 역할 관리자에게 전달되지만 이 관리자는 이 프로세스를 승인 또는 중단시킬 수 없습니다.
체크 아웃된 Break Glass 계정이 "홈" 탭의 "Break Glass" 옵션에 있는 "내 체크 아웃한 권한 있는 계정" 탭에 추가됩니다.
참고:
Break Glass 권한 있는 액세스 역할이 있는 사용자만 Break Glass 프로세스를 수행할 수 있습니다.
Break Glass 구성
다음은 Break Glass를 구성하는 단계입니다.
  1. 엔터프라이즈 관리 콘솔에 관리자로 로그인합니다.
  2. 사용자 및 그룹
    역할
    권한 있는 액세스 역할
    역할 수정
    으로 이동합니다.
  3. Break Glass
    를 선택합니다.
  4. 구성원
     탭을 클릭합니다.
  5. 범위 규칙
     아래에 다음 텍스트가 표시됩니다.
    Privileged Account where (Account Name = "nosuchaccount4" and Account Name = "nosuchaccount3")
    "nosuchaccount4" 및 "nosuchaccount3"을 Break Glass 권한이 있는 특정 계정 이름이나 "*"로 바꿉니다.