콘텐츠로 이동
관리

인증서 관리자 역할 - UI

이 가이드에서는 F5 Distributed Cloud 콘솔 UI를 사용하여 사용자 정의 RBAC 역할을 생성하는 과정을 안내합니다. 이 역할은 HTTP 로드 밸런서에서 사용하는 SSL/TLS 인증서 및 인증서 체인을 관리하는 액세스 권한을 부여합니다. 프로그래밍 방식(API) 접근법은 API 가이드를 참조하세요.

F5 XC RBAC 작동 방식

섹션 제목: “F5 XC RBAC 작동 방식”

F5 XC는 3계층 권한 모델을 사용합니다:

api_group_element  (읽기 전용, 시스템 정의)
       
       
   api_group       (읽기 전용, 시스템 정의)
       
       
     role           (전체 CRUD — 사용자가 생성하는 항목)

  1. api_group_element — 정규식 경로와 HTTP 메서드를 정의합니다 (예: POST /api/config/.*/certificates). 시스템에서 관리하며, 생성, 수정 또는 삭제할 수 없습니다.

  2. api_group — 기능 영역별로 구성된 api_group_element 참조의 명명된 컬렉션입니다. 시스템에서 관리하며, 생성, 수정 또는 삭제할 수 없습니다. 그룹은 ves-io-proxy-read 또는 f5xc-waap-standard-admin과 같은 명명 규칙을 사용합니다.

  3. role — 배열에서 api_group 이름을 참조합니다. 이것이 사용자가 생성하는 유일한 계층입니다. 사용자 정의 역할 엔드포인트를 사용하여 특정 api_groups를 역할에 연결합니다.

프록시 읽기/쓰기 그룹을 선택하면, example-cert-admin 역할은 더 넓은 프록시 리소스 액세스의 일부로 SSL/TLS 인증서 관리 권한을 부여합니다.

범위 및 제한 사항

섹션 제목: “범위 및 제한 사항”

프록시 읽기/쓰기 그룹을 선택하면 할당된 네임스페이스의 모든 프록시 리소스(HTTP 로드 밸런서, 오리진, 라우트, 인증서 등)에 대한 액세스가 부여됩니다. 역할을 인증서만으로 제한하는 방법은 없습니다.

F5 XC는 사용자가 생성한 api_group 또는 api_group_element 객체를 지원하지 않습니다. 플랫폼은 이를 읽기 전용으로 사전 정의하며, 역할은 기존 그룹 이름만 참조할 수 있습니다. 인증서 작업에만 한정된 시스템 정의 그룹은 존재하지 않습니다.

완화 방법 — 네임스페이스 격리: 인증서 리소스를 전용 네임스페이스에 배치하고 example-cert-admin 역할의 범위를 해당 네임스페이스로 지정합니다. 이렇게 하면 사용자가 다른 네임스페이스의 프록시 리소스에 액세스하는 것을 방지하면서도 격리된 네임스페이스 내에서 전체 인증서 관리 권한을 부여할 수 있습니다.

사전 요구 사항

섹션 제목: “사전 요구 사항”
  • F5 Distributed Cloud 콘솔에 대한 관리자 액세스 권한

1단계: 역할 관리로 이동

섹션 제목: “1단계: 역할 관리로 이동”
  1. F5 Distributed Cloud 콘솔에 로그인합니다
  2. 홈 페이지에서 Administration 타일을 클릭합니다
  3. 왼쪽 탐색 메뉴에서 IAM > Roles를 선택합니다
  4. + Add Role을 클릭합니다

2단계: 역할 이름 지정

섹션 제목: “2단계: 역할 이름 지정”

Role Name 필드에 example-cert-admin을 입력합니다.

역할 명명 규칙:

  • 소문자, 숫자, 하이픈만 사용 가능
  • 두 개의 소문자로 시작해야 함
  • 최대 64자

3단계: 프록시 API 그룹 추가

섹션 제목: “3단계: 프록시 API 그룹 추가”

인증서 권한은 프록시 기능 영역에 포함됩니다. 인증서 관리 액세스를 부여하려면 다음 API 그룹을 추가합니다:

  1. + Allowed API Groups를 클릭합니다
  2. 검색/필터 필드에 ves-io-proxy를 입력합니다
  3. 다음 API 그룹을 선택합니다:
API 그룹부여 권한
ves-io-proxy-read인증서를 포함한 프록시 리소스에 대한 읽기 액세스
ves-io-proxy-write인증서를 포함한 프록시 리소스에 대한 쓰기 액세스
  1. Save를 클릭하여 선택한 API 그룹을 확인합니다

4단계: 역할 저장

섹션 제목: “4단계: 역할 저장”

요약에서 선택한 API 그룹을 검토한 다음 Save를 클릭하여 역할을 생성합니다.

5단계: 역할 확인

섹션 제목: “5단계: 역할 확인”
  1. IAM > Roles로 이동합니다
  2. 역할 목록에서 example-cert-admin을 클릭합니다
  3. 두 API 그룹이 모두 나열되어 있는지 확인합니다

참고 자료

섹션 제목: “참고 자료”