IAM을 Google Cloud Google SecOps와 통합
이 문서에서는 Google Cloud Identity and Access Management를 Google Security Operations와 통합하는 방법을 설명합니다.
사용 사례
Google Cloud IAM 통합은 다음 사용 사례를 지원합니다.
자동화된 서비스 계정 수명 주기 관리: 온보딩 및 오프보딩 프로세스 중에 서비스 계정을 자동으로 생성, 사용 설정 또는 사용 중지하여 필요한 경우에만 액세스 권한이 부여되도록 합니다.
신속한 ID 사고 대응: 보안 사고 중에 도용된 서비스 계정 및 역할을 즉시 삭제하거나 사용 중지하여 클라우드 리소스에 대한 무단 액세스를 방지합니다.
ID 거버넌스 및 보강: Google SecOps의 사용자 엔티티를 표시 이름, 프로젝트 ID와 같은 자세한 서비스 계정 메타데이터로 보강하여 조사 중에 분석가에게 즉각적인 컨텍스트를 제공합니다.
정책 감사 및 시행: 액세스 제어 정책을 검색하고 감사하여 최소 권한의 원칙을 준수하는지 확인하고, 프로그래매틱 방식으로 새 정책을 설정하여 승인되지 않은 변경사항을 수정합니다.
역할 기반 액세스 제어 (RBAC) 관리: 조직 전체에서 특정 권한 집합이 있는 맞춤 IAM 역할을 만들어 클라우드 환경 액세스를 세부적으로 제어합니다.
시작하기 전에
Google SecOps에서 Google Cloud IAM 통합을 구성하기 전에 다음 필수 단계를 완료하세요.
커스텀 IAM 역할 만들기: 서비스 계정 및 역할을 관리하는 데 필요한 특정 권한이 있는 역할을 정의합니다.
서비스 계정 만들기: 통합에서 작업을 실행하는 데 사용하는 ID를 만듭니다.
인증 방법 선택: 권장되는 워크로드 아이덴티티 또는 서비스 계정 JSON 키 중에서 선택합니다.
커스텀 IAM 역할 만들기 및 구성
최소 권한의 원칙을 유지하려면 다음 단계에 따라 이 통합에 필요한 특정 권한만 포함하는 맞춤 역할을 만드세요.
Google Cloud 콘솔에서 IAM 및 관리자 > 역할로 이동합니다.
역할 만들기를 클릭합니다.
제목, 설명, ID를 제공합니다.
역할 출시 단계를
General Availability로 설정합니다.권한 추가를 클릭하고 다음 특정 권한을 추가합니다.
iam.serviceAccounts.listiam.serviceAccounts.createiam.serviceAccounts.getiam.serviceAccounts.getIamPolicyiam.serviceAccounts.setIamPolicyiam.serviceAccounts.disableiam.serviceAccounts.enableiam.serviceAccounts.deleteiam.roles.listiam.roles.getiam.roles.createiam.roles.delete
만들기를 클릭합니다.
서비스 계정 만들기
통합은 서비스 계정을 사용하여 프로젝트 내에서 IAM 작업을 인증하고 실행합니다.
서비스 계정을 만들려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
서비스 계정 만들기를 클릭합니다.
이름과 설명을 입력한 다음 만들기 및 계속을 클릭합니다.
이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 이전 단계에서 만든 맞춤 역할을 이 서비스 계정에 할당합니다. 완료를 클릭합니다.
인증 방법 선택
Google SecOps는 이 통합에 대해 다음 두 가지 인증 경로를 지원합니다.
옵션 1: 워크로드 아이덴티티 (권장): 이 방법은 서비스 계정 가장을 사용하여 단기 토큰을 사용합니다. 장기간 사용 가능한 JSON 키가 필요하지 않으므로 더 안전합니다.
옵션 2: 서비스 계정 JSON 키: 이 방법은 정적 키 파일을 사용합니다. 워크로드 아이덴티티를 환경에서 사용할 수 없는 경우에만 사용하세요.
워크로드 아이덴티티를 사용하여 인증 (권장)
워크로드 아이덴티티를 사용하려면 생성한 서비스 계정을 가장하도록 Google SecOps 인스턴스를 승인해야 합니다.
Google SecOps에서 콘텐츠 허브 > 응답 통합으로 이동합니다.
Google Cloud IAM 통합을 선택합니다.
워크로드 아이덴티티 이메일 필드에 서비스 계정 이메일을 입력합니다.
저장을 클릭한 다음 테스트를 클릭합니다. 테스트는 처음에는 실패할 것으로 예상됩니다.
실패한 테스트 옆에 있는 close_small을 클릭하여 오류 메시지를 확인합니다.
오류 메시지 끝부분에 있는 고유한 이메일 주소 (
gke-init-python@...또는soar-python@...형식)를 검색합니다. 이 주소를 복사합니다.
가장 권한 부여
Google SecOps 인스턴스의 고유 ID를 가져온 후에는 Google Cloud 리소스에 액세스할 수 있도록 승인해야 합니다. 이 단계를 통해 서비스 계정 가장이 사용 설정되어 플랫폼에서 정적 키 없이도 단기 토큰을 생성하고 사용자를 대신하여 작업을 실행할 수 있습니다.
Google Cloud 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
이 통합을 위해 만든 서비스 계정을 선택합니다.
권한 탭으로 이동하여 액세스 권한 부여를 클릭합니다.
복사한 고유 이메일 주소를 새 주 구성원 필드에 붙여넣습니다.
서비스 계정 토큰 생성자 역할(
roles/iam.serviceAccountTokenCreator)을 할당합니다. 저장을 클릭합니다.
JSON 키를 사용하여 인증
환경에서 워크로드 아이덴티티를 사용할 수 없는 경우 서비스 계정 JSON 키를 사용하여 통합을 인증할 수 있습니다. 이 메서드는 정적이고 오래 지속되는 보안 비밀 파일을 사용하여 플랫폼과 Google Cloud 리소스 간의 연결을 설정합니다.
Google Cloud 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동하여 서비스 계정을 선택합니다.
키 탭으로 이동합니다.
키 추가 > 새 키 만들기를 클릭합니다.
키 유형으로
JSON을 선택하고 만들기를 클릭합니다. 파일이 컴퓨터에 다운로드됩니다.JSON 파일의 전체 내용을 복사합니다.
플랫폼에서 이 통합을 구성할 때 콘텐츠를 서비스 계정 Json 파일 콘텐츠 필드에 붙여넣습니다.
통합 매개변수
Google Cloud IAM 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Root |
선택사항입니다. Google Cloud IAM 인스턴스의 기본 URL입니다. 기본값은 |
Account Type |
선택사항입니다. Google Cloud 계정의 유형입니다. 이 값은 인증 JSON 파일의 기본값은 |
Project ID |
선택사항입니다. 계정의 Google Cloud 프로젝트 ID입니다. 이 값은 인증 JSON 파일의 |
Quota Project ID |
선택사항입니다. API 요청 시 할당량 및 결제 목적으로 사용되는 프로젝트 ID입니다. |
Private Key ID |
선택사항입니다. Google Cloud 계정의 비공개 키 ID입니다. 이 값은 인증 JSON 파일의 |
Private Key |
선택사항입니다. Google Cloud 계정의 비공개 키입니다. 이 값은 인증 JSON 파일의 |
Client Email |
선택사항입니다. Google Cloud 계정의 클라이언트 이메일입니다. 이 값은 인증 JSON 파일의 |
Client ID |
선택사항입니다. Google Cloud 계정의 클라이언트 ID입니다. 이 값은 인증 JSON 파일의 |
Auth URI |
선택사항입니다. Google Cloud 계정의 인증 URI입니다. 이 값은 인증 JSON 파일의 기본값은 |
Token URI |
선택사항입니다. Google Cloud 계정의 토큰 URI입니다. 이 값은 인증 JSON 파일의 기본값은 |
Auth Provider X509 URL |
선택사항입니다. 인증 제공업체 X.509 인증서 URL입니다. 이 값은 인증 JSON 파일의 기본값은 |
Client X509 URL |
선택사항입니다. 클라이언트 X.509 인증서 URL입니다. 이 값은 인증 JSON 파일의 |
Organization ID |
선택사항입니다. Google Cloud 조직의 고유 식별자입니다. |
Service Account Json File Content |
선택사항입니다. 서비스 계정 키 파일의 전체 JSON 콘텐츠입니다. 이 매개변수가 제공되면 개별 연결 매개변수 (예: |
Workload Identity Email |
선택사항입니다. 워크로드 아이덴티티 서비스 계정과 연결된 이메일 주소입니다. |
Verify SSL |
선택사항입니다. 선택하면 통합에서 Google Cloud IAM 서비스에 연결할 때 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
역할 만들기
Identity and Access Management 역할을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 역할 ID | 문자열 | 해당 사항 없음 | 예 | 새로 생성된 Identity and Access Management 역할의 역할 ID를 지정합니다. |
| 역할 정의 | 문자열 | 해당 사항 없음 | 예 | 역할 정의로 사용할 JSON 정책 문서를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
역할 정책 JSON 예
{
"name": "projects/silver-shift-275007/roles/iam_test_role_api",
"title": "iam_test_role_api",
"description": "test role",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "BwXBu1RHiPw="
}
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
"title": "[ROLE_TITLE]",
"description": "[ROLE_DESCRIPTION]",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "[ETAG_VALUE]"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''역할 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 만들기
Identity and Access Management 서비스 계정을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 서비스 계정 ID | 문자열 | 문자열 | 예 | 만들려는 서비스 계정 ID를 지정합니다. |
| 서비스 계정 표시 이름 | 문자열 | 문자열 | No | 만들려는 서비스 계정 표시 이름을 지정합니다. |
| 서비스 계정 설명 | 문자열 | 문자열 | No | 만들려는 서비스 계정 설명을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
"projectId": "PROJECT_ID",
"uniqueId": "UNIQUE_ID",
"email": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
"displayName": "SERVICE_ACCOUNT_DISPLAY_NAME",
"etag": "ETAG_VALUE",
"description": "SERVICE_ACCOUNT_DESCRIPTION",
"oauth2ClientId": "UNIQUE_ID"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
역할 삭제
Identity and Access Management 역할을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 역할 ID | 문자열 | 해당 사항 없음 | 예 | 새로 생성된 Identity and Access Management 역할의 역할 ID를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
"title": "[ROLE_TITLE]",
"description": "[ROLE_DESCRIPTION]",
"includedPermissions": [
"storagetransfer.projects.getServiceAccount"
],
"stage": "GA",
"etag": "[ETAG_VALUE]",
"deleted": true
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''역할 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 삭제
서비스 계정을 삭제합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 사용 중지
서비스 계정을 사용 중지합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 사용 중지' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
서비스 계정 사용 설정
서비스 계정을 사용 설정합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 사용 설정' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
항목 보강
Identity and Access Management의 서비스 계정 정보로 Google SecOps 사용자 엔티티를 보강합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
"projectId": "[PROJECT_ID]",
"uniqueId": "[UNIQUE_ID]",
"email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
"displayName": "[DISPLAY_NAME]",
"etag": "[ETAG]",
"description": "[DESCRIPTION]",
"oauth2ClientId": "[UNIQUE_ID]"
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| Google_IAM_name | |
| Google_IAM_project_id | .. |
| Google_IAM_unique_id | |
| Google_IAM_email | |
| Google_IAM_display_name | |
| Google_IAM_description | |
| Google_IAM_oauth2_client_id |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''항목 보강' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 테이블(보강) | 표 이름: {entity} 보강 표 열: 키, 값 |
항목 |
서비스 계정 IAM 정책 가져오기
서비스 계정의 액세스 제어 정책을 가져옵니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 사용자 항목으로 예상합니다. 서비스 계정에 정책이 할당되지 않은 경우 정책이 비어 있을 수 있습니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"version": 1,
"etag": "[ETAG_VALUE]",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:[USER_EMAIL]"
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 IAM 정책 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
역할 나열
지정된 검색 기준에 따라 Identity and Access Management 역할을 나열합니다. 이 작업은 Google SecOps 항목에서는 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 보기 | DDL | 기본 | No | 역할 정보를 반환하는 데 사용할 뷰를 지정합니다. |
| 반환할 최대 행 수 | 정수 | 50 | No | 작업에서 반환해야 하는 역할 수를 지정합니다. |
| 프로젝트 맞춤 역할만 나열하시겠어요? | 체크박스 | 선택 해제 | No | 사용 설정한 경우 작업에서 현재 프로젝트 ID에 정의된 커스텀 역할만 반환합니다. |
| 삭제된 항목 표시 | 체크박스 | 선택 해제 | No | 사용 설정된 경우 작업에서 삭제된 역할도 반환합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"roles": [
{
"name": "roles/accessapproval.approver",
"title": "Access Approval Approver",
"description": "Ability to view or act on access approval requests and view configuration",
"stage": "BETA",
"etag": "[ETAG_VALUE]"
},
{
"name": "roles/accessapproval.configEditor",
"title": "Access Approval Config Editor",
"description": "Ability update the Access Approval configuration",
"stage": "BETA",
"etag": "[ETAG_VALUE]"
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, 잘못된 영역, SDK 오류: ''역할 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 표 | 표 이름: Google Cloud IAM 역할 테이블 열: 역할 이름 역할 이름 역할 설명 역할 단계 역할 ETag 역할 권한 |
일반 |
서비스 계정 나열
지정된 검색 기준에 따라 ID 및 액세스 관리 서비스 계정을 나열합니다. 이 작업은 Google SecOps 항목에서는 작동하지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 서비스 계정 표시 이름 | 문자열 | 해당 사항 없음 | No | 반환할 서비스 계정 표시 이름을 지정합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 서비스 계정 이메일 | 문자열 | 해당 사항 없음 | No | 반환할 서비스 계정 이메일을 지정합니다. 매개변수에서 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 반환할 최대 행 수 | 정수 | 50 | No | 작업에서 반환해야 하는 역할 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"accounts": [
{
"name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
"projectId": "[PROJECT_ID]",
"uniqueId": "[UNIQUE_ID]",
"email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
"displayName": "[DISPLAY_NAME]",
"etag": "[ETAG_VALUE]",
"description": "[SERVICE_ACCOUNT_DESCRIPTION]",
"oauth2ClientId": "[UNIQUE_ID]"
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, 잘못된 영역, SDK 오류: ''서비스 계정 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 표 | 표 이름: Google Cloud 서비스 계정 테이블 열: 서비스 계정 이름 서비스 계정 고유 ID 서비스 계정 이메일 서비스 계정 표시 이름 서비스 계정 설명 서비스 계정 Oauth2 클라이언트 ID |
일반 |
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Identity and Access Management 서비스에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다.
|
일반 |
서비스 계정 키 순환
서비스 계정 키 순환 작업을 사용하여 서비스 계정과 연결된 사용자 관리 키를 순환합니다. 순환 중에 기존 키가 모두 삭제되고 새 키가 생성됩니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DeploymentUsername
작업 입력
서비스 계정 키 순환 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Service Account |
선택사항입니다. 키를 순환할 서비스 계정의 쉼표로 구분된 목록입니다. 이 매개변수는 항목과 함께 작동합니다. 제공된 경우 작업은 작업 범위에서 식별된 서비스 계정 항목 외에도 이러한 특정 계정의 키를 순환합니다. |
작업 출력
서비스 계정 키 순환 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용 불가 |
| 케이스 월 링크 | 사용 불가 |
| 케이스 월 테이블 | 사용 불가 |
| 보강 테이블 | 사용 불가 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 서비스 계정 키 순환 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"Entity": "123",
"EntityResult": {
"name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
"validAfterTime": "2023-09-12T11:02:31Z",
"validBeforeTime": "9999-12-31T23:59:59Z",
"keyAlgorithm": "KEY_ALG_RSA_2048",
"keyOrigin": "GOOGLE_PROVIDED",
"keyType": "USER_MANAGED"
}
},
{
"Entity": "1234",
"EntityResult": {
"name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
"validAfterTime": "2023-09-12T11:02:31Z",
"validBeforeTime": "9999-12-31T23:59:59Z",
"keyAlgorithm": "KEY_ALG_RSA_2048",
"keyOrigin": "GOOGLE_PROVIDED",
"keyType": "USER_MANAGED"
}
}
]
출력 메시지
서비스 계정 키 순환 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Rotate Service Account Keys". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 서비스 계정 키 순환 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
서비스 계정 IAM 정책 설정
지정된 서비스 계정의 액세스 제어 정책을 설정합니다. 이 작업은 Identity and Access Management 서비스 계정 이메일을 Google SecOps 계정 항목으로 예상합니다. 실제로 제공되는 정책이 기존 정책을 대체합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 정책 | 문자열 | 해당 사항 없음 | 예 | 서비스 계정에 설정할 JSON 정책 문서를 지정합니다. |
실행
이 작업은 계정 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"version": 1,
"etag": "[ETAG_VALUE]",
"bindings": [
{
"role": "roles/iam.securityReviewer",
"members": [
"user:[USER_EMAIL]"
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''서비스 계정 IAM 정책 설정' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.