Tencent Cloud의 'CAM(Cloud Access Management)'을 통해 접근 권한을 제어할 수 있습니다. 팀원들에게는 개인별 서브 계정을 발급하고, 업무에 딱 필요한 권한만 연결하여 사용하여 보안을 강화 할 수 있습니다. 또한, 정책 설정을 통해 특정 IP 대역에서만 콘솔 접근을 허용하도록 강제할 수 있습니다.

Details

1. 권한 부여 방식: 정책(Policy) 연결

CAM은 '누가(User)', '무엇을(Action)', '어떤 자원에(Resource)' 접근 할 수 있는지 정의하는 구조입니다.

사전 설정 정책 : 텐센트가 미리 만들어둔 템플릿으로, 필요한 권한을 검색해서 연결만 하면 됩니다.

예: QcloudCVMFullAccess (서버 관리 전권), QcloudReadOnlyAccess (읽기 전용), QcloudFinanceFullAccess (결제 관리 전권)

사용자 정의 정책 (Custom Policy): 특정 버킷만 보게 하거나, 서버 재부팅은 못 하게 막는 등 디테일한 권한을 직접 JSON 코드로 짭니다.

2. 조건 설정 

특정 환경에서만 접근 가능하도록 조건을 걸 수 있습니다. 정책 편집 화면에서 조건 요소에 회사 사무실의 공인 IP 대역을 입력하면, 그 외의 장소에서는 ID/PW가 맞아도 접근이 거부됩니다.

Guidance

신입 사원이나 모니터링 팀에게 계정을 줄 때는? 👉 [Read-Only 정책 부여]

실수로 서버를 삭제하거나 설정을 바꾸는 사고를 막으려면 QcloudReadOnlyAccess 정책 하나만 부여하세요. 모든 자원을 조회할 수는 있지만, 생성/수정/삭제 버튼은 비활성화되어 안전합니다.

회사 내부망에서만 콘솔에 접속하게 하려면? 👉 [IP 화이트리스트 정책 적용]

재택근무가 없거나 보안이 매우 중요한 금융/공공 프로젝트라면 IP 제한이 필수입니다. 커스텀 정책 내에 ip_equal 조건을 사용하여 203.0.113.0/24와 같이 허용된 IP 대역을 명시하십시오. 해커가 계정 정보를 탈취해가도 외부에서는 절대 접속할 수 없습니다.

개발자에게 서버 권한만 주고, 결제 금액은 숨기고 싶다면? 👉 [서비스별 권한 분리]
개발자에게는 QcloudCVMFullAccess(서버 관리) 권한만 주고, 결제 관련 권한은 주지 마세요. 이렇게 하면 개발자는 인프라를 자유롭게 구축할 수 있지만, '비용 센터' 메뉴에는 접근할 수 없어 회사의 재무 정보를 보호할 수 있습니다.