정책 운영 — 변경 · 영향 검증 · 단계적 롤아웃
FGAC 정책 한 개를 운영에 올린 뒤의 흐름 — 변경 시 영향 범위 검증, 그룹·컬렉션 단위 단계적 롤아웃, 롤백 패턴.
레슨 4 에서 첫 정책 한 개 를 작성했습니다. 본 레슨은 그 정책을 변경 할 때의 운영 흐름을 잡습니다. 가장 자주 권한 사고 가 일어나는 자리이고, 가장 자주 수동 점검 으로 흘러가는 자리입니다.
정책 변경의 3 단계 운영
조직 규모가 커지면 정책 한 개의 변경이 수십 명의 보이는 슬라이스 를 동시에 바꿉니다. 변경 한 번을 3 단계 운영 으로 묶으면 사고를 거의 차단할 수 있습니다.
1 단계: 변경 의도의 명시화
정책 편집 화면에 들어가기 전에 다음 세 줄을 적어 두세요 (커밋 메시지 또는 변경 티켓에).
- 어떤 사용자 그룹의 슬라이스가 어떻게 달라지는가
- 왜 그 변경이 필요한가 (요청 출처: 보안팀 · 사업부 · 컴플라이언스)
- 원상 복구 시점의 기준 (특정 일자 · 특정 조건)
본문은 한 번 적고 나면 변경 후 의 영향 검증과 롤백 의 기준이 됩니다.
2 단계: 영향 검증 — 변경 전 시뮬레이션
포털 정책 편집 화면에는 변경 시뮬레이션 기능이 있습니다 (정책 편집 우상단 영향 미리 보기). 변경 후 정책이 적용된 상태를 실제 적용 전에 미리 보여 줍니다.
세 가지를 한 번씩 확인합니다.
- 영향받는 사용자 수 — 변경 전 vs 변경 후의 차이. 의도와 1 자릿수 어긋나도 일단 멈춥니다.
- 영향받는 데이터셋·자원 수 — 한 정책이 여러 데이터셋 에 걸려 있을 수 있습니다.
- 영향받는 행 수 — 행 필터 정책에서 얼마나 많은 row 가 새로 가려지는지 또는 새로 보이는지. 시뮬레이션 결과의 delta row 수 가 의도한 범위인지 확인.
세 숫자가 의도와 맞으면 다음 단계로.
3 단계: 단계적 롤아웃
영향 범위가 크다면 한 번에 전체 적용 하지 않습니다. 두 가지 단계적 적용 패턴.
- 그룹 단위 분리 — 정책을 전체 적용 하기 전에 작은 파일럿 그룹 (예: IT 운영팀 5 명) 에만 먼저 적용. 1 주일 운영 후 이상 없으면 전체로 확대.
- 컬렉션 단위 분리 — 같은 정책을 여러 컬렉션 에 걸어야 한다면 낮은 위험 컬렉션부터 적용. 분석가 sandbox → 분석 데이터셋 → 프로덕션 데이터셋 순서.
롤백 — 되돌리기 의 운영 기본값
정책은 변경 이력 이 자동으로 남습니다. 정책 상세 화면의 이력 탭에서 N 단계 전 버전으로 되돌리기 가 한 클릭입니다.
운영 초기에는 모든 정책 변경 후 24 시간 을 모니터링 윈도우 로 둡니다. 그 시간 안에 권한 누락 · 권한 과다 신고가 들어오면 즉시 롤백, 1 단계의 변경 의도 본문을 보강해 다시 시도하는 흐름이 안전합니다.
사고 예방의 한 줄 규칙
운영 1 년차 관리자에게 가장 자주 듣는 한 줄 — "정책 변경은 절대 금요일 오후에 하지 마라". 변경 의도의 명시화 → 영향 검증 → 단계적 롤아웃 → 롤백 모니터링 의 흐름은 시간 + 주의 가 필요한 작업이고, 주말에 권한 사고가 발생하면 월요일 오전까지 수동 대응 이 불가능합니다.
이 레슨에서 익혀야 할 것
- 정책 변경의 3 단계 운영 (의도 명시 → 영향 검증 → 단계적 롤아웃)
- 변경 시뮬레이션 의 세 숫자 (사용자 · 자원 · row 수)
- 24 시간 모니터링 윈도우 + 정책 이력 한 클릭 롤백
다음 레슨
자원 변경 이력 화면을 활용한 감사 추적 — 누가 · 무엇을 · 언제 의 4 점 점검 패턴.