권한 그룹으로 대규모 권한 관리하기

  • 업데이트 시간

권한 그룹을 사용하면 특정 그룹의 멤버십을 기반으로 한 단계에서 여러 사용자에게 권한 집합을 할당하여 Amplitude 조직을 프로비저닝 및 관리하는 프로세스를 간소화할 수 있습니다.

예를 들어 '마케팅 팀' 또는 '결제 팀'과 같은 그룹을 생성하고, 사용자를 여기에 추가하고, 개별 팀원이 아닌 각 그룹에 프로젝트 권한을 할당할 수 있습니다. 그룹에 할당된 사용자는 여러분이 해당 그룹에 할당한 수준의 권한을 갖게 됩니다. 사용자는 여러 그룹으로 할당될 수 있으며, 특정 그룹 멤버의 권한 수준을 변경하는 유일한 방법은 그룹에서 해당 사용자를 삭제하는 것입니다.

Amplitude는 사용자에게 할당된 가장 높은 수준의 권한을 부여합니다. 사용자가 그룹에 할당되면 프로젝트 권한을 상속받게 됩니다. 사용자에게 고유한 프로젝트 권한 세트가 있는 경우 새로운 권한 세트는 가장 높은 역할이 있는 프로젝트와의 조합이 됩니다.

시작하기 전에

  • 이 기능은 Enterprise 플랜을 사용하는 고객에게만 제공됩니다.
  • 조직의 운영자만 그룹을 편집할 수 있습니다.
  • 권한 그룹은 사용자 관리 API(SCIM API)를 통해 관리할 수 있습니다.
  • 계속 진행하기 전에 Amplitude의 사용자 권한 모델을 숙지해야 합니다.

그룹 생성하기

새로운 그룹을 생성하려면 다음 단계를 따릅니다.

  1. Settings > Members & Groups로 이동합니다. 

permission_groups_1.png

  1. Groups 탭에서 + New Group을 클릭합니다. 그러면 Create New Group 창이 열립니다.
  2. General 탭에서 그룹 이름을 지정하고 필요한 경우 설명을 추가합니다.
  3. 필요한 경우 Team Spaces 드롭다운에서 그룹 멤버를 자동으로 추가할 팀 스페이스를 선택합니다. 선택한 팀 스페이스의 기존 멤버들은 이 그룹에 자동으로 추가되지 않습니다.
  4. 드롭다운에서 적절한 그룹 유형을 선택합니다.
  5. 다음으로 + Add Project를 클릭하고 이 그룹이 액세스 권한을 보유할 프로젝트를 선택합니다. 그룹에 프로젝트를 원하는 수만큼 추가할 수 있습니다.
  6. 각 프로젝트에 대해 적절한 프로젝트 역할을 선택합니다. 모든 그룹 멤버들은 해당 프로젝트 역할에 연결된 권한 수준을 갖게 됩니다.

permission_groups_2.png

참고: 그룹 멤버가 이미 개별적으로 또는 다른 그룹을 통해 프로젝트에 대한 액세스 권한을 보유하고 있는 경우, Amplitude는 멤버가 보유한 가장 높은 권한 수준에 따라 이를 처리합니다. 예를 들어 사용자가 특정 프로젝트에 대해 그룹 A를 통해서는 '멤버' 역할을 보유하고 있지만, 그룹 B를 통해서는 해당 프로젝트에 대한 '관리자' 액세스 권한을 부여받은 경우, 이 사용자는 해당 프로젝트에 대해 관리자 권한을 갖게 됩니다. 더 많은 예시 시나리오를 참조하세요.

  1. 다음으로 Members 탭을 열고 + Add Members를 클릭합니다. 드롭다운에서 추가할 사용자를 찾습니다. 아직 멤버를 추가할 준비가 되지 않은 경우 이 단계는 건너뛸 수 있습니다.
  2. Save를 클릭하여 그룹 생성을 완료합니다.

그룹 편집하기

언제든지 그룹의 권한 수준을 수정하고, 그룹 멤버를 추가 또는 삭제하고, 그룹 유형이나 그룹에 연결된 팀 스페이스를 변경하고, 프로젝트를 그룹에 추가할 수 있습니다.

그룹에서 멤버를 삭제하려면 Members 탭으로 이동한 다음 멤버의 이름 옆에 있는 박스를 체크합니다. 그런 다음 Remove를 클릭합니다.

특정 프로젝트에 대해 그룹의 권한 수준을 조정하려면 General 탭으로 이동한 다음 프로젝트의 이름 옆에 있는 박스를 체크합니다. Edit Project Role 드롭다운을 클릭한 다음 그룹에 대해 적절한 프로젝트 역할을 선택하거나, Remove Project Access를 클릭하여 이 그룹의 멤버들이 프로젝트에 액세스하지 못하도록 막습니다.

신규 사용자를 초대할 때 그룹 할당하기

조직에 신규 사용자를 초대할 때 '액세스 권한 할당' 단계에서 해당 사용자를 그룹에 할당하거나 개별 프로젝트 권한을 할당할 수 있습니다.

 

사용자 권한을 할당할 때 고려할 사항

사용자 권한은 그룹을 통해, 또는 사용자 관리를 통해 개별적으로 할당할 수 있습니다. 관리자가 한 방법을 중점적으로 사용할지, 아니면 두 개의 방법을 혼합하여 사용할지 중에서 사용자 권한을 할당하는 방법을 결정하는 것이 좋습니다. 아래 표에서는 조직에 어떤 방법이 가장 적합한지 판단하는 데 도움이 되는 정보가 나와 있습니다. 

방법

장점

단점

그룹

권한을 손쉽게 구성하고 확장할 수 있습니다.

향후 다른 권한 모델과 통합할 수 있습니다. 

사용자 권한에 대한 개별 재정의를 관리하기가 더 어렵습니다. 예외 사항을 위해 새로운 그룹을 생성해야 합니다.

사용자 관리

각 사용자에 대해 맞춤 설정된 권한입니다.

보다 큰 규모로 관리하기 어렵습니다.

구성을 관리하기가 어렵습니다. 

혼합 방식

두 가지 방법의 이점을 모두 취하여 일회성 사례에 대해 개별적으로 할당된 권한과 함께 깔끔한 구성 및 확장성을 모두 활용할 수 있습니다.

어떤 할당이 진실 공급원(Source Of Truth)인지 알기 어렵습니다. 


조직에서 타사 ID 및 액세스 관리 소프트웨어(예: Okta, GSuite, SailPoint 등)를 사용하는 경우 나중에 Amplitude와 통합할 수 있습니다. 회사 구조와 조직의 표준 권한 및 역할 세트에 맞게 Amplitude 내에서 그룹을 설정하도록 하세요. 액세스 관리 통합은 그룹을 통해서만 관리할 수 있습니다. 

예시 시나리오

사용자가 단일 프로젝트에 대해 여러 권한 수준(그룹 멤버십 또는 개별 할당을 통해)을 보유한 경우, 사용 가능한 가장 높은 권한 수준을 사용할 수 있습니다. 

예시 A: Oleg는 프로젝트에 멤버 권한을 제공하는 그룹에 할당되었습니다.

  • 이때 사용자 관리를 통해 Oleg를 더 높은 역할로 개별 업그레이드할 수 있습니다.
  • 나중에 더 낮은 멤버 역할로 Oleg를 재할당하려는 경우 해당 권한 수준으로 Oleg를 개별 다운그레이드할 수 있습니다.

사용자가 사용자 관리를 통해 권한을 할당받은 경우 해당 권한은 그룹의 권한 수준을 통해 제거, 다운그레이드 또는 제한될 수 없습니다. 반대로 그룹에서 멤버십을 통해 권한을 할당받은 경우 이러한 권한은 사용자 관리를 통해 제거, 다운그레이드 또는 제한될 수 없습니다.

예시 B: Akiko는 그룹에서 멤버십을 통해 관리자 수준의 권한을 보유한 프로젝트 관리자입니다.

  • 이때 사용자 관리를 통해 개별적으로 Akiko를 멤버나 조회 권한을 보유한 사람으로 다운그레이드할 수 없습니다.

사용자가 그룹에서 삭제되면 그룹을 통해 부여된 권한이 취소됩니다. 사용자 관리를 통한 프로젝트 권한도 보유한 경우, 그러한 권한은 그대로 유지됩니다. 

예시 C: Marco는 프로젝트 A에 대해 조회 권한을 개별적으로 할당받았습니다. 또한 그룹 멤버십을 통해 프로젝트 A와 프로젝트 B에 대한 관리자 권한도 부여받았습니다.

  • 이때 Marco는 프로젝트 A와 프로젝트 B의 관리자입니다. 관리자가 Marco에게 부여된 가장 높은 수준의 권한이기 때문입니다. 
  • Marco가 그룹에서 삭제되는 경우 프로젝트 A의 조회 권한만 보유하게 됩니다.
  • 나중에 Marco가 그룹에 다시 추가되면 모든 사용자 지정 권한과 그룹 지정 권한이 복구됩니다. 따라서, 이 경우 Marco는 다시 프로젝트 A와 프로젝트 B의 관리자가 됩니다.

사용자에게 개별적으로 또는 그룹 멤버십을 통해 권한이 할당되지 않은 경우 해당 사용자는 Amplitude 조직 내의 어떤 콘텐츠도 볼 수 없습니다.

예시 D: Tyra는 개별적으로 할당된 프로젝트 권한을 보유하고 있지 않지만, 프로젝트 A에 대해 멤버 권한을 부여하는 그룹에 할당되었습니다.

  • Tyra가 그룹에서 삭제되는 경우 더 이상 조직 내의 어떤 콘텐츠에도 액세스할 수 없게 됩니다.