이 페이지는 Cloud Translation API를 통해 번역되었습니다.

승인 및 액세스 제어

Identity and Access Management (IAM)는 Google Cloud 환경에서 누가 어떤 작업을 할 수 있는지 제어할 수 있는 도구입니다.

액세스는 IAM 권한으로 제어되며, 이 권한은 Google Cloud 환경에서 리소스를 사용하는 데 필요합니다. 리소스 작업을 위한 권한이 부여되면 해당 리소스에 액세스할 수 있는 권한이 부여됩니다. 적절한 승인이 없으면 Google Cloud 리소스에 액세스할 수 없습니다.

권한 및 역할

리소스를 사용하려면 사용자 계정에 해당 리소스에 액세스할 수 있는 관련 권한이 있어야 합니다.

일반적으로 리소스에 대한 액세스 제어는 IAM 관리자가 담당합니다. 관리자는 프로젝트, 폴더 또는 조직의 단일 리소스 또는 모든 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 관리자는 역할이라는 번들에서 사용자 계정에 관련 권한을 부여합니다. 사용자 계정에 적절한 권한이 있는 역할이 있으면 해당 역할을 사용하여 Google Cloud 리소스에 액세스할 수 있습니다.

일반적으로Google Cloud 환경의 리소스에 작업을 실행하는 워크플로는 다음과 같습니다.

리소스에 대해 작업을 실행하려고 하지만(예: Cloud Storage 버킷에 객체 업로드) 적절한 권한이 없습니다. 권한이 없으면 작업을 수행할 수 없습니다.
원하는 요청 관리 시스템을 통해 또는 Google Cloud 콘솔의 권한 오류 메시지에서 직접 IAM 관리자에게 필요한 권한을 요청할 수 있습니다.
IAM 관리자가 적절한 권한이 포함된 역할을 사용자 계정에 부여합니다. 이제 작업을 실행할 수 있습니다.

관리자로서 IAM 사용

관리자는 일반적으로 사용자가 Google Cloud 리소스에 액세스할 수 있도록 사용자에게 역할을 부여합니다. 사용자는 인증된 ID(주 구성원이라고 함)로 표시됩니다.

리소스에 대한 주 구성원에게 역할을 부여하려면 리소스에 연결된 허용 정책을 수정해야 합니다. 허용 정책은 리소스에 액세스할 수 있는 주 구성원과 리소스에서 수행할 수 있는 작업을 나열합니다. IAM은 허용 정책을 사용하여 주 구성원에게 리소스에 액세스하는 데 필요한 권한이 있는지 확인합니다. 따라서 특정 리소스에 대한 액세스 권한을 주 구성원에게 부여하려면 주 구성원과 부여할 역할로 리소스의 허용 정책을 업데이트해야 합니다.

관리자는 다음 유형의 리소스에 대해 주 구성원에게 역할을 부여할 수 있습니다.

프로젝트, 폴더, 조직: 이러한 리소스는 리소스 계층 구조를 구성하는 데 사용되는 컨테이너 리소스입니다. 이러한 컨테이너 리소스에 부여하는 역할은 포함된 모든 서비스별 리소스에 적용됩니다.
서비스별 리소스: 서비스에서 제공하는 기능 또는 구성요소입니다. 예를 들어 Compute Engine에는 인스턴스, 디스크, 서브네트워크와 같은 리소스가 있습니다. 서비스별 리소스에 역할을 부여하면 컨테이너 리소스에 역할을 부여하는 것보다 세부적인 액세스 제어가 가능합니다. 사용자의 액세스가 해당 리소스로만 제한되기 때문입니다.

IAM을 사용한 고급 액세스 제어

허용 정책은 IAM으로Google Cloud 환경에 대한 액세스를 제어하는 가장 일반적인 방법입니다. 하지만 IAM은 다음과 같은 액세스 제어를 위한 다른 고급 옵션도 제공합니다.

거부 및 주 구성원 액세스 경계 정책과 같은 추가 정책 유형
조건부 속성 기반 액세스 제어
Privileged Access Manager (PAM)와 같은 임시 액세스 제어

기타 액세스 제어 형식

IAM은Google Cloud의 기본 액세스 제어 방법이지만 사용자의 리소스 액세스에 영향을 줄 수 있는 다른 Google Cloud 서비스도 있습니다.

다음은 사용자의 액세스에 영향을 줄 수 있는 다른 서비스의 몇 가지 예입니다.

Access Context Manager: Access Context Manager를 사용하면 Google Cloud의 프로젝트 및 리소스에 대해 세분화된 속성 기반 액세스 제어를 정의할 수 있습니다.
Identity-Aware Proxy (IAP): IAP는 HTTPS로 액세스하는 애플리케이션에 대해 중앙 승인 레이어를 설정하는 애플리케이션 수준 액세스 제어 모델을 사용합니다.
조직 정책 서비스: 조직 정책을 사용하면 리소스 계층 구조 전반에 걸쳐 제약 조건을 구성하여 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다.
VPC 서비스 제어: VPC 서비스 제어를 사용하면 명시적으로 지정한 Google Cloud 서비스의 Google Cloud 리소스와 데이터를 보호하는 경계를 정의할 수 있습니다.

다음 단계

IAM 시스템 및 작동 방식에 대한 자세한 내용은 IAM 문서의 IAM 개요 페이지를 참고하세요.
IAM 오류 메시지에 대한 자세한 내용은 IAM 문서의 권한 오류 메시지 문제 해결을 참고하세요.

승인 및 액세스 제어 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.