Google Cloud IAM
통합 버전: 12.0
사용 사례
Google Cloud에서 권한 및 서비스 계정을 관리합니다.
제품 권한
서비스 계정 만들기:
- Google Cloud 프로젝트 포털을 열고 왼쪽 창에서 IAM 및 관리자 > 역할을 클릭합니다.
- 역할 만들기를 클릭하여 통합에 필요한 권한이 부여될 커스텀 역할을 만듭니다.
- 열린 페이지에서 정식 버전에 역할 제목, 설명, ID, 역할 실행 단계를 제공합니다.
생성된 역할에 다음 권한을 추가합니다.
- iam.serviceAccounts.list
- iam.serviceAccounts.create
- iam.serviceAccounts.get
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.setIamPolicy
- iam.serviceAccounts.disable
- iam.serviceAccounts.enable
- iam.serviceAccounts.delete
- iam.roles.list
- iam.roles.get
- iam.roles.create
- iam.roles.delete
만들기를 클릭하여 새 맞춤 역할을 만듭니다.
다음으로 Google 문서로 이동하여 서비스 계정 만들기 섹션의 절차를 따릅니다. 서비스 계정을 만들면 서비스 계정 비공개 키 파일이 다운로드됩니다.
이전에 만든 역할을 서비스 계정에 부여하여 통합에 필요한 권한을 서비스 계정에 부여합니다.
1단계에서 다운로드한 파일의 JSON 콘텐츠를 사용하여 Google Cloud IAM 통합을 구성합니다.
Google Security Operations에서 Google Cloud IAM 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 계정 유형 | 문자열 | service_account | 아니요 | Google Cloud 계정의 유형입니다. 인증 JSON 파일의 'type' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 프로젝트 ID | 문자열 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 프로젝트 ID입니다. 인증 JSON 파일의 'project_id' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 비공개 키 ID | 비밀번호 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 비공개 키 ID입니다. 인증 JSON 파일의 'private_key_id' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 비공개 키 | 비밀번호 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 비공개 키입니다. 인증 JSON 파일의 'private_key' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 클라이언트 이메일 | 문자열 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 클라이언트 이메일입니다. 인증 JSON 파일의 'client_email' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 클라이언트 ID입니다. 인증 JSON 파일의 'client_id' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 인증 URI | 문자열 | https://accounts.google.com/o/oauth2/auth | 아니요 | Google Cloud 계정의 인증 URI입니다. 인증 JSON 파일의 'auth_uri' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 토큰 URI | 문자열 | https://oauth2.googleapis.com/token |
아니요 | Google Cloud 계정의 토큰 URI입니다. 인증 JSON 파일의 'token_uri' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 인증 제공업체 X509 URL | 문자열 | https://www.googleapis.com/oauth2/v1/certs |
아니요 | 계정의 인증 제공업체 X509 URL입니다. Google Cloud 인증 JSON 파일의 'auth_provider_x509_cert_url' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 클라이언트 X509 URL | 문자열 | 해당 사항 없음 | 아니요 | Google Cloud 계정의 클라이언트 X509 URL입니다. 인증 JSON 파일의 'client_x509_cert_url' 매개변수에 있습니다. 이 값을 복사하여 이 통합 구성 매개변수에 입력해야 합니다. |
| 서비스 계정 Json 파일 콘텐츠 | 문자열 | 해당 사항 없음 | No | 선택사항: 비공개 키 ID, 비공개 키 및 기타 매개변수를 지정하는 대신 서비스 계정 파일의 전체 JSON 콘텐츠를 여기에 지정합니다. 이 매개변수가 제공되면 다른 연결 매개변수는 무시됩니다. |
| SSL 확인 | 체크박스 | 선택 | 아니요 | 사용 설정하면 통합에서 Google Cloud 서비스에 대한 연결의 SSL 인증서가 유효한지 확인합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Identity and Access Management 서비스에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
항목 보강
설명
Identity and Access Management의 서비스 계정 정보로 Google SecOps 사용자 엔티티를 보강합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Google_IAM_name | |
| Google_IAM_project_id | .. |
| Google_IAM_unique_id | |
| Google_IAM_email | |
| Google_IAM_display_name | |
| Google_IAM_description | |
| Google_IAM_oauth2_client_id |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''항목 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 테이블(보강) | 표 이름: {entity} 보강 표 열: 키, 값 |
항목 |
서비스 계정 나열
설명
지정된 검색 기준에 따라 ID 및 액세스 관리 서비스 계정을 나열합니다. 이 작업은 Google SecOps 항목에서는 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 서비스 계정 표시 이름 | 문자열 | 해당 사항 없음 | No | 반환할 서비스 계정 표시 이름을 지정합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 서비스 계정 이메일 | 문자열 | 해당 사항 없음 | No | 반환할 서비스 계정 이메일을 지정합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 반환할 최대 행 수 | 정수 | 50 | No | 작업에서 반환해야 하는 역할 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"accounts": [
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, 잘못된 영역, SDK 오류: ''서비스 계정 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 표 | 표 이름: Google Cloud 서비스 계정 테이블 열: 서비스 계정 이름 서비스 계정 고유 ID 서비스 계정 이메일 서비스 계정 표시 이름 서비스 계정 설명 서비스 계정 Oauth2 클라이언트 ID |
일반 |
서비스 계정 만들기
설명
Identity and Access Management 서비스 계정을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 서비스 계정 ID | 문자열 | 문자열 | 예 | 만들려는 서비스 계정 ID를 지정합니다. |
| 서비스 계정 표시 이름 | 문자열 | 문자열 | No | 만들려는 서비스 계정 표시 이름을 지정합니다. |
| 서비스 계정 설명 | 문자열 | 문자열 | No | 만들려는 서비스 계정 설명을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/silver-shift-275007/serviceAccounts/dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"projectId": "silver-shift-275007",
"uniqueId": "104627053409757134782",
"email": "dmitrystestsa@silver-shift-275007.iam.gserviceaccount.com",
"displayName": "dmitrys Test SA displayName",
"etag": "MDEwMjE5MjA=",
"description": "Service account description",
"oauth2ClientId": "104627053409757134782"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 IAM 정책 가져오기
설명
서비스 계정의 액세스 제어 정책을 가져옵니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다. 서비스 계정에 정책이 할당되지 않은 경우 정책이 비어 있을 수 있습니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"version": 1,
"etag": "BwXBuNg8cMA=",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:dmitrys@siemplify.co"
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 IAM 정책 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 IAM 정책 설정
설명
지정된 서비스 계정의 액세스 제어 정책을 설정합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 계정 항목으로 예상합니다. 실제로 제공되는 정책이 기존 정책을 대체합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 정책 | 문자열 | 해당 사항 없음 | 예 | 서비스 계정에 설정할 JSON 정책 문서를 지정합니다. |
실행
이 작업은 계정 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"version": 1,
"etag": "BwXBuNg8cMA=",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:dmitrys@siemplify.co"
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 IAM 정책 설정' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 사용 중지
설명
서비스 계정을 사용 중지합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 사용 중지' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 사용 설정
설명
서비스 계정을 사용 설정합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 사용 설정' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 삭제
설명
서비스 계정을 삭제합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
역할 나열
설명
지정된 검색 기준에 따라 Identity and Access Management 역할을 나열합니다. 이 작업은 Google SecOps 항목에서는 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 보기 | DDL | 기본 | No | 역할 정보를 반환하는 데 사용할 뷰를 지정합니다. |
| 반환할 최대 행 수 | 정수 | 50 | No | 작업에서 반환해야 하는 역할 수를 지정합니다. |
| 프로젝트 맞춤 역할만 나열하시겠어요? | 체크박스 | 선택 해제 | No | 사용 설정한 경우 작업에서 현재 프로젝트 ID에 정의된 커스텀 역할만 반환합니다. |
| 삭제된 항목 표시 | 체크박스 | 선택 해제 | No | 사용 설정된 경우 작업에서 삭제된 역할도 반환합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"roles": [
{
"name": "roles/accessapproval.approver",
"title": "Access Approval Approver",
"description": "Ability to view or act on access approval requests and view configuration",
"stage": "BETA",
"etag": "AA=="
},
{
"name": "roles/accessapproval.configEditor",
"title": "Access Approval Config Editor",
"description": "Ability update the Access Approval configuration",
"stage": "BETA",
"etag": "AA=="
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, 잘못된 영역, SDK 오류: ''역할 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 표 | 표 이름: Google Cloud IAM 역할 테이블 열: 역할 이름 역할 이름 역할 설명 역할 단계 역할 ETag 역할 권한 |
일반 |
역할 생성
설명
Identity and Access Management 역할을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 역할 ID | 문자열 | 해당 사항 없음 | 예 | 새로 생성된 Identity and Access Management 역할의 역할 ID를 지정합니다. |
| 역할 정의 | 문자열 | 해당 사항 없음 | 예 | 역할 정의로 사용할 JSON 정책 문서를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
역할 정책 JSON 예
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXBu1RHiPw="
}
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXBu1RHiPw="
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''역할 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
역할 삭제
설명
Identity and Access Management 역할을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 역할 ID | 문자열 | 해당 사항 없음 | 예 | 새로 생성된 Identity and Access Management 역할의 역할 ID를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXDDgKFx7M=",
"deleted": true
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''역할 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.