External Access の認証と権限管理

Prev Next

Classic/VPC環境で利用できます。

NAVERクラウドプラットフォーム外部のワークロードを認証し、NAVERクラウドプラットフォームにアクセスできる権限を管理する方法について説明します。

外部ワークロード認証

外部ワークロードを認証して安全に一時キーを提供するために NAVERクラウドプラットフォームの NCP Private CAサービスを通じて X.509証明書を作成するか、外部 CAを登録して External Accessメニューで認証、権限管理を行います。

Trust Anchor作成

お客様の証明書を検証する Trust Anchorを設定するステップです。Trust Anchorを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。
  2. Trust Anchor タブの [作成] ボタンをクリックします。

subaccount-external-access_trustanchor_01_ko

  1. Trust Anchor情報 で作成する Trust Anchorの名前と説明を入力します。
  2. CA情報 で登録する CAを選択します。CAは作成された Ncloud Private CAを選択するか、外部 CAを直接入力して登録できます。
    • 作成された Ncloud Private CAがない場合、 Private CA作成 ボタンで CAを作成した後に行えます。
  3. Trust Anchor情報CA情報 の入力を完了し、 [作成] ボタンをクリックします。
  4. Trust Anchor タブで Trust Anchorが追加されているか確認します。
    subaccount-external-access_trustanchor_02_ko

Profile作成と Role連携

NAVERクラウドプラットフォームにアクセスする Profileを作成して管理するステップです。
Profileに External Access Service Role をマッピングすることで、身元が確認された外部ワークロードを対象に、NAVERクラウドプラットフォームリソースへのアクセス権を External Access Service Roleで制御できます。Profileを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。
  2. Profile タブで [作成] ボタンをクリックします。
    subaccount-external-access_profile_01_ko
  3. Profile情報 から作成する Profileの名前とメモを入力します。
  4. Role情報 から Profileに連携する Roleを選択します。
  5. セッション情報 に一時的に発行したキーの有効期限を設定します。
  6. [作成] ボタンをクリックします。
  7. Profile タブで Profileが追加されているか確認します。
    subaccount-external-access_profile_02_ko
参考
  • Roleは1つのプロファイルにのみ関連付けできます。
  • 0個の Roleを持つ Profileも作成できます。
  • セッションの有効期限は600秒(10分)~43200秒(12時間)まで可能です。

Subject Activity

同じ証明書のプロパティ(Subject)を持つ証明書の詳細な使用履歴を Subject Activityを通じて管理できます。Subject Activityは、証明書の使用履歴に応じて自動的に作成され、履歴を確認する方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。
  2. Subject Activity タブに作成されている Subject をクリックします。
  3. 作成された Subjectの情報と証明書の使用履歴を確認します。

Signing Helperで一時キー発行

Trust Anchorと Profileの設定が完了すると、Signing Helper CLIを通じて一時キーを発行され、一時認証情報を取得します。