최소권한·인증인가 분리와 RBAC·ABAC 선택으로 확장·감사성 동시 확보 결
IAM 플랫폼 개발에서 가장 중요한 것은 최소 권한 원칙(Principle of Least Privilege)입니다. 사용자가 필요한 것만 접근할 수 있도록 권한을 세밀하게 설계해야 하는데, 처음부터 넓게 열어두면 나중에 줄이기가 어려워집니다. 또한 인증과 인가를 분리해서 설계하는 것도 중요합니다. 인증은 '누구인지 확인', 인가는 '무엇을 할 수 있는지 결정'이라는 두 단계가 명확히 분리되어야 확장성과 감사 가능성이 보장됩니다.
RBAC이나 ABAC 모델 중 어느 것을 사용할지도 서비스 구조에 따라 신중하게 선택해야 합니다. 확장성과 감사 가능성을 동시에 확보하는 설계가 좋은 IAM의 기준이라고 생각합니다.