생성형 AI 사용 사례를 위한 IAM 컨트롤

이 문서에는 Google Cloud에서 생성형 AI 워크로드를 실행할 때 Identity and Access Management (IAM)에 관한 권장사항과 가이드라인이 포함되어 있습니다. Vertex AI와 함께 IAM을 사용하여 생성형 워크로드 리소스(예: 생성, 수정, 삭제)에 대해 특정 작업을 수행할 수 있는 사용자를 제어합니다.

필수 IAM 컨트롤

IAM을 사용할 때는 다음 제어를 적극 권장합니다.

기본 서비스 계정에 대한 자동 ID 및 액세스 관리 (IAM) 부여 사용 중지

Google 제어 ID IAM-CO-4.1
카테고리 필수
설명

Google Cloud 서비스에서 과도한 권한 역할이 있는 기본 서비스 계정을 자동으로 생성하는 경우 automaticIamGrantsForDefaultServiceAccounts 불리언 제약 조건을 사용하여 자동 역할 부여를 사용 중지합니다. 예를 들어 이 제약 조건을 적용하지 않고 기본 서비스 계정을 만드는 경우 서비스 계정에 프로젝트에 대한 편집자 역할 (roles/editor)이 자동으로 부여됩니다.
적용 가능한 제품
  • IAM
  • 조직 정책 서비스
경로 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
연산자 Is
  • False
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

외부 서비스 계정 키 생성 차단

Google 제어 ID IAM-CO-4.2
카테고리 필수
설명

iam.disableServiceAccountKeyCreation 불리언 제약조건을 사용하여 외부 서비스 계정 키가 생성되지 않도록 합니다. 이 제약조건을 사용하면 서비스 계정에 대한 장기 비관리 사용자 인증 정보의 사용을 제어할 수 있습니다. 이 제약 조건이 설정되면 제약 조건의 영향을 받는 프로젝트에서 서비스 계정에 대해 사용자 관리 사용자 인증 정보를 만들 수 없습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • IAM
경로 constraints/iam.disableServiceAccountKeyCreation
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

서비스 계정 키 업로드 차단

Google 제어 ID IAM-CO-4.3
카테고리 필수
설명

iam.disableServiceAccountKeyUpload 불리언 제약조건을 사용하여 서비스 계정에 외부 공개 키 업로드를 사용 중지합니다. 이 제약 조건이 설정되면 사용자는 제약 조건의 영향을 받는 프로젝트의 서비스 계정에 공개 키를 업로드할 수 없습니다.
적용 가능한 제품
  • 조직 정책 서비스
  • IAM
경로 constraints/iam.disableServiceAccountKeyUpload
연산자 Is
  • True
유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

생성형 AI 관련 사용 사례에 따라 추가 IAM 제어가 필요할 수 있습니다.

태그를 구현하여 ID 및 액세스 관리 (IAM) 정책과 조직 정책을 효율적으로 할당

Google 제어 ID IAM-CO-6.1
카테고리 추천
설명

태그를 사용하면 리소스의 주석을 만들 수 있으며 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부할 수 있습니다. 태그 및 조건부 정책 적용을 사용하여 리소스 계층 구조 전반을 세밀하게 제어할 수 있습니다.
적용 가능한 제품
  • Resource Manager
관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
관련 정보

Identity and Access Management (IAM)의 위험도가 높은 변경사항 감사

Google 제어 ID IAM-CO-7.1
카테고리 추천
설명

Cloud 감사 로그를 사용하여 조직 관리자 및 최고 관리자와 같은 고위험 역할이 부여된 계정과 같은 고위험 활동을 모니터링합니다. 이 유형의 활동에 대한 알림을 설정합니다.
적용 가능한 제품
  • Cloud 감사 로그
관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

선택적 공통 컨트롤

조직의 요구사항에 따라 다음 컨트롤을 선택적으로 구현할 수 있습니다.

Google 콘솔의 컨텍스트 인식 액세스 구성

Google 제어 ID IAM-CO-8.2
카테고리 선택사항
설명

컨텍스트 인식 액세스를 사용하면 사용자 ID, 위치, 기기 보안 상태, IP 주소와 같은 속성을 기반으로 애플리케이션에 대한 상세 액세스 제어 보안 정책을 만들 수 있습니다. 컨텍스트 인식 액세스를 사용하여 Google Cloud 콘솔 (https://console.cloud.google.com/) 및 Google 관리 콘솔 (https://admin.cloud.google.com)에 대한 액세스를 제한하는 것이 좋습니다.
적용 가능한 제품
  • Cloud ID
  • 컨텍스트 인식 액세스
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

다음 단계