접근통제 흐름

접근통제 판정 흐름

접근통제 문제는 식별, 인증, 인가, 감사의 순서로 읽으면 DAC, MAC, RBAC, ABAC와 구현 방식까지 자연스럽게 연결됩니다.

접근 판정 순서

흐름

식별 계정·주체·서비스 ID를 로그에서 구분할 수 있게 고정합니다.

인증 비밀번호, MFA, 인증서, Kerberos로 주장한 주체가 맞는지 검증합니다.

인가 역할, 등급, 속성, 소유자 정책을 대조해 요청 행위를 허용·거부합니다.

감사 누가 언제 어떤 객체에 접근했는지 남겨 사후 부인을 줄입니다.

Match

DAC 객체 소유자가 ACL을 바꿀 수 있어 협업은 쉽지만 권한 전파와 회수가 약점입니다.

MAC 주체·객체 label과 중앙 정책이 등급 흐름을 강제해 사용자가 임의로 완화하지 못합니다.

RBAC 직무 역할에 권한을 묶어 입퇴사·부서 이동 때 역할 배정으로 권한을 관리합니다.

ABAC 사용자, 자원, 시간, 위치, 기기 상태를 조건식으로 묶어 요청마다 판단합니다.

ACL 객체마다 허용 주체와 권한을 기록하므로 파일·버킷 단위 점검에 맞습니다.

Capability 주체가 가진 토큰이 접근 가능한 객체와 권한을 증명하므로 위임·회수 절차를 확인합니다.