워크스페이스 설정 관리하기

워크스페이스 설정은 Staff(RBAC admin) 또는 Superuser(RBAC superuser) 멤버만 접근할 수 있습니다.

역할별 접근 가능 메뉴

설정 메뉴Staff (admin)Superuser (superuser)
일반OO
플랜 및 결제 > 사용량OO
접근 > 역할O
접근 > 서버 등록O
보안 > 인증O
보안 > 서버 접근 정책O
보안 > Sudo 접근O
보안 > 보안 그룹O
통합 > 알림O
통합 > 모니터링 규칙O
통합 > 웹훅OO
통합 > 확장 기능OO

참고: 승인 관리는 이제 별도 페이지입니다. 요청 관리를 참고하세요. 셀프 호스팅 배포에서는 사용량, 인증, Sudo 접근이 표시되지 않습니다. 보안 그룹확장 기능은 Enterprise 플랜이 필요합니다.

설정 접근하기

좌측 사이드바의 Workspace settings 메뉴를 클릭합니다. 이 메뉴는 Staff 또는 Superuser 멤버에게만 표시됩니다.

일반

기본 설정

  • 워크스페이스 표시 이름: 워크스페이스 이름 설정
  • 시간대: 기본 시간대 선택
  • 언어: 기본 표시 언어 설정
  • 결제 이메일: 결제 알림 수신 이메일

고급 설정

초대 링크 유효 시간:

  • 워크스페이스 초대 링크가 유효한 시간
  • 최대 30일까지 지정 가능

Websh 세션 유지 시간:

  • 비활성 Websh 세션이 이 시간 이후 자동 종료
  • 긴 유지 시간은 비용 증가 가능
  • 15분 ~ 1일 내에서 지정

자동 에이전트 업그레이드:

  • 활성화 시 등록된 서버에 설치된 Alpacon 에이전트가 자동으로 최신 버전으로 업그레이드됩니다.
  • 기본값: 활성

패키지 프록시:

  • 인터넷에 직접 접근할 수 없는 서버에서 패키지 설치 시 사용할 프록시 서버 URL을 지정합니다.
  • 직접 연결을 사용하려면 비워두세요 (기본값).

허용된 도메인:

  • 특정 이메일 도메인 사용자가 초대 없이 가입 가능
  • Essential 플랜 이상에서 사용 가능

플랜 및 결제

사용량

사용량 페이지에는 네 개의 섹션이 있습니다.

  • 플랜 정보: 현재 플랜과 한도(멤버, 서버). 플랜 변경은 외부 결제 페이지를 열어 플랜을 전환합니다. Enterprise는 support@alpacax.com으로 문의하세요.
  • 활성 리소스: 활성 사용자와 활성 서버. 사용자·서버 페이지로 연결됩니다.
  • 리소스 사용량: Websh 세션 사용 시간, FTP 파일 전송량.
  • 이번 달 예상 비용: 서비스별 내역(초과분 포함)과 합계.

참고: 사용량·결제는 셀프 호스팅 배포에서는 표시되지 않습니다.

접근

역할

워크스페이스 내 역할과 권한을 관리합니다. 역할은 권한의 묶음으로, 사용자와 그룹에 할당할 수 있습니다. Superuser만 이 설정에 접근할 수 있습니다.

기본 제공 역할

기본 제공 역할은 Staff와 Superuser 멤버에게 역할 설정에 따라 자동 할당됩니다.

역할자동 할당 조건설명
superuserSuperuser로 설정된 사용자전체 워크스페이스 제어
adminStaff로 설정된 사용자사용자/그룹 관리, 일부 설정 접근

일반 사용자에게는 워크스페이스 전체 범위의 기본 제공 역할이 부여되지 않습니다. 접근 권한은 그룹 멤버십과 직접 할당된 역할에서 옵니다.

리소스 범위 역할

리소스 범위 역할은 사용자가 특정 리소스의 소유자 또는 관리자가 될 때 자동 할당됩니다.

예를 들어, group:owner(그룹 소유자로 설정 시 자동 할당)와 server:owner(서버 소유자로 설정 시 자동 할당)가 있습니다.

역할 목록

역할 목록에는 워크스페이스의 모든 역할이 표시되며, 각 역할의 이름, 설명, 생성일을 확인할 수 있습니다.

역할 생성

  1. 새 역할 클릭
  2. 역할의 이름설명 입력
  3. 저장

역할은 권한 없이 생성됩니다. 역할 상세 페이지에서 권한, 사용자, 그룹을 할당하세요.

역할 삭제

  1. 역할 상세 페이지로 이동
  2. 설정 탭으로 이동
  3. 역할 삭제 클릭
  4. 삭제 확인

역할 상세 페이지

역할 상세 페이지에는 4개의 탭이 있습니다: 권한, 사용자 할당, 그룹 할당, 설정.

권한 탭

이 역할에 할당된 권한을 관리합니다. 각 권한은 resource:action 형식을 따릅니다 (예: server:read, server:write).

권한 목록에는 권한 이름과 특정 리소스 유형 및 오브젝트로 범위가 제한되어 있는지가 표시됩니다.

검색창으로 권한을 검색하고, 전체 또는 할당됨 상태로 필터링할 수 있습니다.

권한 할당:

  1. 권한 할당 클릭
  2. 드롭다운에서 권한 선택
  3. 선택 사항으로 특정 리소스로 제한을 체크하여 특정 리소스 유형과 오브젝트로 권한을 제한할 수 있습니다:
    • 드롭다운에서 리소스 유형 선택
    • 체크박스 리스트에서 하나 이상의 오브젝트 선택
    • 선택한 리소스 유형에 사용 가능한 오브젝트가 없으면 해당 리소스 유형의 모든 오브젝트에 권한이 적용됩니다
  4. 저장

권한 제거:

할당을 선택하고 할당 제거를 클릭하여 이 역할에서 제거합니다.

사용자 할당 탭

이 역할에 할당된 사용자를 관리합니다. 목록에는 각 사용자의 이름, 이메일, 범위 정보가 표시됩니다.

사용자 할당:

  1. 사용자 할당 클릭
  2. 드롭다운에서 사용자 선택
  3. 선택 사항으로 범위를 설정하여 이 역할을 특정 리소스로 제한할 수 있습니다
  4. 저장

사용자 할당 제거:

할당을 선택하고 할당 제거를 클릭하여 제거합니다.

그룹 할당 탭

이 역할에 할당된 그룹을 관리합니다. 그룹에 역할을 할당하면 그룹의 모든 멤버가 해당 역할의 권한을 상속받습니다.

그룹 할당:

  1. 그룹 할당 클릭
  2. 드롭다운에서 그룹 선택
  3. 선택 사항으로 범위를 설정하여 이 역할을 특정 리소스로 제한할 수 있습니다
  4. 저장

그룹 할당 제거:

할당을 선택하고 할당 제거를 클릭하여 제거합니다.

설정 탭

역할의 이름과 설명을 수정하거나 역할을 삭제합니다.

  • 이름: 이 역할의 고유한 이름
  • 설명: 역할의 목적에 대한 선택적 설명

저장을 클릭하여 변경 사항을 적용하거나, 역할 삭제를 클릭하여 역할과 모든 할당을 영구적으로 제거합니다.

서버 등록

서버 온보딩에 사용하는 서버 등록 토큰을 생성·관리합니다. 토큰의 이름, 선택적 만료, 허용 그룹(등록된 서버가 배정될 그룹)을 설정합니다. 토큰 키는 한 번만 표시됩니다. superuser 전용입니다.

보안

인증

워크스페이스 보안 정책을 설정합니다. 설정 변경 시 MFA 추가 인증이 필요합니다.

MFA 강제 적용:

  • 활성화 시 모든 워크스페이스 멤버가 로그인 시 MFA를 완료해야 합니다.
  • MFA 수단이 설정되지 않은 멤버는 다음 로그인 시 설정하도록 안내됩니다.

허용된 MFA 수단:

  • 멤버가 사용할 수 있는 MFA 방법을 선택합니다 (복수 선택 가능).
  • 사용 가능한 방법: TOTP 인증 앱, 이메일, 전화, WebAuthn (하드웨어 키)

MFA 인증 유지 시간:

  • MFA 인증 완료 후 인증 상태가 유지되는 최대 시간
  • 이 설정은 워크스페이스 전체 범위를 지정합니다. 각 멤버는 설정 > 보안 설정에서 이 범위 내에서 개인 타임아웃을 조절할 수 있습니다. 보안 설정을 참고하세요.
  • 짧은 타임아웃은 보안이 강화되지만 재인증 빈도가 증가합니다.

MFA 필수 인증 작업:

  • 활성화 시 Websh, WebFTP에서 sudo 권한으로 시스템 계정에 접속할 때 추가 MFA 인증이 필요합니다.
  • 개인 Alpacon 계정이 아닌 시스템 계정(예: root)으로 접속할 때 적용됩니다.
  • 권한이 필요한 세션이 시작되기 전에 MFA를 완료하도록 안내됩니다.

서버 접근 정책

워크스페이스의 서버 접근 및 보안 정책을 구성합니다. 이 설정에 접근하려면 MFA 인증이 필요합니다.

서버 기본 설정

기본 터널 허용:

  • 활성화 시 새로 등록된 서버에 대해 기본적으로 터널 접근이 허용됩니다.
  • 터널 세션은 서버에 대한 직접 네트워크 접근을 제공합니다.

기본 에디터 허용:

  • 활성화 시 새로 등록된 서버에 대해 기본적으로 코드 에디터 접근이 허용됩니다.
  • 에디터 세션은 서버에서 파일 편집 접근을 제공합니다.

터널 및 에디터 세션은 세션 모니터링에 기록되지 않습니다. 보안 요구 사항에 따라 이 기본 설정을 신중히 검토하세요.

계정 기본 설정

IAM 사용자 계정을 Linux 시스템에 프로비저닝할 때 홈 디렉토리 접근 권한을 설정합니다.

  • 액세스 제한: 소유자만 접근
  • 그룹 공유: 그룹 멤버 접근
  • 전체 공유: 모든 사용자 접근

sudo 및 root 접근

root 직접 접속 허용:

  • 시스템 계정 선택 시 root 사용자로 직접 접속을 허용할지 여부
  • 기본값: 비활성
  • 비활성 시, Websh, WebFTP, 코드 에디터 접속에서 시스템 계정 목록에 root 계정이 제외됩니다.

sudo with MFA 사용:

  • sudo with MFA를 활성화하여 Staff 및 Superuser 사용자가 Websh에서 MFA 인증 후 sudo 명령을 실행할 수 있도록 합니다.
  • 활성화 시 Alpamon 1.3.2 이상이 실행 중인 서버에 필요한 PAM 모듈이 자동 설치됩니다.
  • root 직접 접속 허용과 독립적으로 작동합니다. root 직접 접속이 비활성이어도 sudo 명령을 사용할 수 있습니다.

sudo with MFA 타임아웃:

  • MFA 인증 후 sudo 권한이 유효하게 유지되는 시간
  • 이 기간이 만료되면 다음 sudo 명령 실행 시 MFA 인증이 다시 필요합니다.

Websh 외부 sudo 비활성화:

  • 활성화 시 Alpacon Websh 세션 내에서만 sudo 명령을 허용합니다.
  • 그 외 모든 서버 접속 방식에서 sudo가 비활성화됩니다.
  • 이 설정은 sudo with MFA 사용이 활성화된 경우에만 구성할 수 있습니다.

Sudo 접근

sudo 정책으로 권한 명령을 사전 인가하고, 인가 경로를 감사합니다. 두 개의 탭이 있습니다.

  • 정책(Policies): 인가할 명령어(와일드카드 가능)를 정의하고, 선택적으로 특정 사용자·서버로 범위를 한정하며, 유효 시작/만료 기간과 사유를 지정합니다. 정책은 작업 세션에 바인딩할 수 있으며, 세션 바인딩 정책은 MFA 우회 허용으로 비대화형 호출자가 MFA 프롬프트 없이 해당 명령을 실행하게 할 수 있고 세션 종료 시 비활성화됩니다.
  • 인가 기록(Grants): 인가 이력(Sudo 기록에도 표시).

sudo와 MFA를 참고하세요. superuser 전용입니다.

통합

알림

Alpacon을 사용하면서 발생하는 알림 유형을 관리하고 원하는 수신 방식을 설정할 수 있습니다.

알림 유형

어떤 이벤트가 발생했을 때 알림을 받을지 선택할 수 있습니다. 유형은 다음과 같습니다.

  • 서버 연결 끊김: 서버가 Alpacon과의 연결이 1분 또는 5분 이상 끊기면 경고/오류 알림을 받습니다.

알림 채널

알림을 받을 방식을 선택할 수 있습니다. 선택 가능한 방법은 다음과 같습니다.

  • 이메일
  • 웹훅: 외부 웹훅 엔드포인트로 알림을 전송합니다. 웹훅에서 구성할 수 있습니다.
  • 푸시 알림: 브라우저 푸시 알림을 수신합니다.

모니터링 규칙

실시간 서버 메트릭 모니터링 중 정의해놓은 모니터링 규칙에 따라 대시보드 및 이메일 경고를 전송합니다.

규칙 추가

  1. 새 규칙 버튼 클릭
  2. 대상 선택
  3. 임계값 설정
  4. 기본 규칙 여부 설정
  5. 저장

참고: 기본 규칙은 대상당 1개만 생성 가능

기본 규칙이란? 서버 신규 등록 시 자동으로 적용되는 규칙입니다.

규칙 수정

  • 작업 메뉴에서 수정/삭제
  • 유일한 기본 규칙은 삭제 불가

웹훅

웹훅 URL을 등록하여 알림 이벤트를 외부 서비스로 전송할 수 있습니다. Alpacon은 Slack, Discord, Microsoft Teams, Telegram, 커스텀 엔드포인트를 지원합니다.

웹훅 생성

  1. 새 웹훅 버튼 클릭
  2. 다음 정보 입력:
    • 이름: 웹훅 이름
    • URL: 웹훅 엔드포인트 URL
    • 프로바이더: 메시징 플랫폼 (미설정 시 URL에서 자동 감지)
    • SSL 인증 확인: SSL 인증서 검증 여부
    • 활성화됨: 활성화 여부
  3. 저장

지원 프로바이더

프로바이더URL 패턴
Slackhooks.slack.com
Discorddiscord.com/api/webhooks
Microsoft Teams*.logic.azure.com, *.webhook.office.com
Telegramapi.telegram.org
Custom기타 URL

프로바이더별 설정 가이드

Slack

  1. Slack 워크스페이스 → → “Incoming WebHooks” 검색
  2. 채널에 추가하고 웹훅 URL 복사

Discord

  1. 서버 설정연동웹훅 이동
  2. 새 웹훅 클릭, 채널 선택 후 URL 복사

Microsoft Teams

Workflows 사용 (권장):

  1. 사이드바에서 채널 이름에 마우스를 올려 더보기(…)Workflows 클릭
  2. “Post to a channel when a webhook request is received” 검색
  3. 설정을 완료하고 웹훅 URL 복사

Incoming Webhook 사용 (레거시):

  1. 사이드바에서 채널 이름에 마우스를 올려 더보기(…)채널 관리 클릭
  2. 편집 선택 후 Incoming Webhook 검색하여 추가
  3. 구성 후 웹훅 URL 복사

Telegram

  1. @BotFather에 메시지를 보내 봇을 생성하고 토큰 발급
  2. chat ID를 확인한 후 다음 URL 구성: https://api.telegram.org/bot<token>/sendMessage?chat_id=<id>

Custom

POST 요청을 수신하는 HTTP 엔드포인트를 구성하고 URL을 직접 입력합니다.

웹훅 관리

  • 웹훅 카드 클릭하여 상세 관리
  • 설정 수정 또는 삭제

확장 기능

Enterprise 플랜에서 Alpacon 확장 기능을 항목별로 켜고 끌 수 있습니다.

  • IP: IP 및 DHCP 설정 관리
  • DNS: 도메인 이름을 IP 주소로 변환
  • Proxy: 프록시 서버 제어·구성
  • Private SSL: 사설 SSL 인증서 관리
  • Package mirrors: 패키지 미러 분배·관리
  • Power control: 전원 설정 모니터링·제어

관련 문서

최종 수정: