강화된 관리 액세스 제어

증강 관리 액세스는 일부 Google Cloud 제품에 대한 세부적인 제어 및 가시성을 추가하여 액세스 투명성 및 액세스 승인을 확장합니다. 이 기능을 사용하면 지원을 제공하는 과정에서 Google 직원이 데이터 또는 시스템에 액세스할 때 수행하는 구체적이고 세부적인 작업을 검토하고 승인할 수 있습니다.

이 기능을 사용 설정하면 승인 요청 수가 증가하여 Google에서 Google Cloud의 관리 서비스에 대한 지원을 제공하는 데 지연이 발생할 수 있습니다. 증강 요청은 매우 세분화되어 있으므로 관리자는 짧은 기간 내에 여러 요청을 승인해야 할 수 있습니다. 증강 관리 액세스를 사용할 때는 Pub/Sub을 사용하여 승인 요청 처리를 자동화하는 것이 좋습니다.

작동 방식

증강 관리 액세스를 사용 설정하면 지원되는 서비스의 액세스 승인 요청과 액세스 투명성 로그 모두에 사용할 수 있는 정보가 향상됩니다. 일반적인 액세스 방법만 표시되는 대신 실행되는 특정 명령어 또는 작업에 대한 유용한 정보를 얻을 수 있습니다.

제어의 세부사항

확장된 관리 기능을 사용하면 선택한 제품의 로그와 승인에 대한 세부사항을 강화할 수 있습니다. 주요 차이점은 다음과 같습니다.

표준 액세스 승인 및 액세스 투명성: 액세스 방법과 사유를 표시합니다.
강화된 액세스 승인 및 액세스 투명성: 명령 수준 정보를 제공하여 지원되는 서비스에서 SSH를 사용하여 리소스에 액세스할 때 Google 직원이 실행하는 특정 명령을 확인하고 승인할 수 있습니다.

예를 들어 GKE에 대해 증강 관리 액세스가 사용 설정된 경우 GKE 컨트롤 플레인에서 Google 관리자가 실행하는 각 개별 명령어를 검토하고 승인할 수 있습니다.

시작하기 전에

증강 관리 액세스를 사용하려면 조직에서 액세스 투명성과 액세스 승인이 모두 사용 설정되어 있어야 합니다.

액세스 투명성을 사용 설정하려면 액세스 투명성 사용 설정을 참고하세요.
액세스 승인을 사용 설정하려면 액세스 승인 사용 설정을 참고하세요.

다른 액세스 유형에 미치는 영향

확장된 관리 액세스는 지원되는 서비스 및 필드 섹션에 나열된 특정 시나리오 및 서비스에만 영향을 미칩니다. 지원되지 않는 서비스 또는 시나리오에 대한 다른 모든 액세스 승인 요청 및 액세스 투명성 로그는 변경되지 않습니다.

확장된 액세스 투명성 로그 식별

증강 관리 액세스에서 생성된 액세스 투명성 로그는 Cloud Logging에 기록되며 logClass 필드로 구분할 수 있습니다.

`log_class`	로그 유형
`ACCESS_TRANSPARENCY`	표준 액세스 투명성 로그
`AUGMENTED_ACCESS_TRANSPARENCY`	증강된 액세스 투명성 로그

지원되는 서비스 및 필드

다음 서비스는 강화된 관리 액세스를 지원합니다.

Google Kubernetes Engine
- 강화된 제어: Google Kubernetes Engine (GKE) 컨트롤 플레인에 대한 SSH 액세스
- 증강 데이터 필드:
  - 액세스 투명성 로그: tool_commandline
  - 액세스 승인 요청: Command
Cloud SQL
- 확장된 제어: 데이터베이스 호스트에 대한 SSH 액세스
- 증강 데이터 필드:
  - 액세스 투명성 로그: tool_commandline
  - 액세스 승인 요청: Command
PostgreSQL용 AlloyDB
- 확장된 제어: 데이터베이스 호스트에 대한 SSH 액세스
- 증강 데이터 필드:
  - 액세스 투명성 로그: tool_commandline
  - 액세스 승인 요청: Command

예시 로그: GKE 컨트롤 플레인

GKE와 같은 지원되는 서비스에 증강 관리 액세스가 사용 설정되면 액세스 투명성 로그에 augmentedInfo 객체가 포함됩니다.

augmentedInfo 필드는 증강 관리 액세스 제어가 사용 설정되어 있고 로그에 AUGMENTED_ACCESS_TRANSPARENCY 클래스가 있는 경우에만 표시됩니다.

다음 예는 보강된 로그의 스니펫을 보여줍니다.

{
  "augmentedInfo": {
    "command": "echo showmethelogs"
  },
  "logClass": "AUGMENTED_ACCESS_TRANSPARENCY"
}

다음은 전체 보강된 액세스 투명성 로그의 예입니다.

{
  "insertId": "1234567890abcdefghijk",
  "jsonPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.TransparencyLog",
    "accessApprovals": [
      "projects/PROJECT_NUMBER/approvalRequests/123abcdef"
    ],
    "accesses": [
      {
        "methodName": "GoogleInternal.SSH.Master",
        "resourceName": "//container.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1-c/clusters/example-cluster"
      }
    ],
    "augmentedInfo": {
      "command": "echo showmethelogs"
    },
    "eventId": "1234567890abcdefghijk",
    "location": {
      "principalEmployingEntity": "Google LLC",
      "principalOfficeCountry": "US",
      "principalPhysicalLocationCountry": "US"
    },
    "logClass": "AUGMENTED_ACCESS_TRANSPARENCY",
    "principalJobTitle": "Engineering",
    "product": [
      "Google Kubernetes Engine"
    ],
    "reason": [
      {
        "detail": "For details, please refer to the documentation.",
        "type": "GOOGLE_INITIATED_SERVICE"
      }
    ]
  },
  "logName": "projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Faccess_transparency",
  "operation": {
    "id": "1234567890abcdef"
  },
  "receiveTimestamp": "2024-05-03T17:32:44.630281843Z",
  "resource": {
    "labels": {
      "project_id": "PROJECT_NAME"
    },
    "type": "project"
  },
  "severity": "NOTICE",
  "timestamp": "2025-06-07T12:34:56.328083Z"
}

다음 단계

증강 관리 액세스 권한을 사용 설정하는 방법을 알아보세요.
액세스 투명성 로그를 읽는 방법을 이해합니다.
액세스 승인 개요를 검토합니다.