RBAC (Role-Based Access Control)

RBAC (Role-Based Access Control)

사용자에게 직접 권한을 부여하지 않고 역할(Role)을 매개로 접근 권한을 관리하는 접근제어 모델

특징: 관리 용이, 역할 중심, 역할 폭발(Role Explosion) 가능성

구성요소: 사용자(User), 역할(Role), 권한(Permission), 세션(Session)

NIST 4단계: RBAC0(기본/UA·PA), RBAC1(계층/역할 상속), RBAC2(제약/SoD), RBAC3(통합)

역할 계층: 상위 역할이 하위 권한 상속, 일반 계층(다중 상속) vs 제한 계층(트리)

역할 폭발: 부서×직급×프로젝트 조합 폭증 → ABAC 도입, 역할 계층 활용, 역할 마이닝으로 대응

직무분리(SoD): SSD(정적/동시 할당 금지) vs DSD(동적/동시 활성화 금지)

적용사례: 기업 시스템(ERP/CRM), 클라우드 IAM(AWS/Azure), 데이터베이스

비교: RBAC(역할/관리 용이/정적) vs ABAC(속성/유연/복잡) vs ReBAC(관계/Zanzibar)

연관: 접근제어, ABAC, IAM, 최소권한