OpsNow FinOps Plus는 AWS 계정 등록 시 CloudFormation 템플릿(Stack)을 통해 필요한 권한을 자동으로 설정합니다.
이는 고객의 운영 부담을 줄이고, 동시에 최소 권한 원칙(Principle of Least Privilege)을 기반으로 비용, 리소스, 정책 정보 분석에 필요한 최소 권한만 요청되도록 설계되어 있습니다.
✅ CloudFormation 기반 자동 권한 구성
OpsNow에서 제공하는 AWS CloudFormation 스택을 실행하면, 다음과 같은 항목이 자동으로 설정됩니다:
- CrossAccountRole: OpsNow가 고객 계정에 접근할 수 있도록 구성된 IAM 역할
- 정책(Policy) 세트: 비용 조회, 리소스 모니터링, 태그 분석, CloudFormation 리소스 접근 등 기능별 정책이 세분화되어 포함됨
- External ID 기반 AssumeRole: 보안 강화를 위한 외부 식별자 조건 설정 포함
📂 주요 권한 범위 예시
- ce:Get, ec2:Describe, cloudwatch:ListMetrics** 등 비용 및 모니터링 API
- s3:GetObject, s3:ListBucket 등 비용 보고서 수집을 위한 S3 접근
- cur:DescribeReportDefinitions, cur:PutReportDefinition 등 Cost & Usage Report 설정
- iam:Get, iam:List / autoscaling:Describe*** 등 운영 인프라 분석을 위한 읽기 권한
- tag:GetTagValues, tag:UntagResources 등 태그 기반 리소스 분류 기능 포함
📌 모든 권한은 리소스 생성 후 OpsNow가 필요로 하는 범위 내에서만 동작하며, 실행 권한이나 삭제 권한은 요청하지 않습니다.
🔍 실시간 권한 확인 및 관리
- 등록된 AWS 계정의 권한은 [Settings > Cloud Accounts] 메뉴에서 확인할 수 있으며,
고객은 AWS 콘솔에서 해당 IAM 역할과 정책을 직접 검토하고 수정할 수 있습니다. - OpsNow는 고객사의 보안 기준에 맞춰 필요한 경우 맞춤형 권한 설정도 지원합니다.
예: 특정 서비스 제외, 정책 범위 제한 등
📌 CloudFormation을 통한 자동화된 권한 구성은 설정 오류를 줄이고, 안전하고 투명한 클라우드 연동을 가능하게 합니다.
보안과 운영 모두를 고려한 접근 방식으로, 클라우드 비용 및 리소스 통합 관리에 최적화된 구조입니다.
