Privileged Access Manager 개요

Privileged Access Manager(PAM)를 사용하여 일부 주 구성원의 적시 임시 권한 승격을 제어하고 나중에 감사 로그를 보고 누가 언제 무엇에 액세스했는지 확인할 수 있습니다.

임시 승격을 허용하려면 Privileged Access Manager에 사용 권한을 만들고 다음 속성을 추가합니다.

  • 사용 권한에 대한 권한 부여를 요청할 수 있는 주 구성원 집합입니다.

  • 해당 권한 부여에 근거가 필요한지 여부입니다.

  • 임시 권한 부여에 대한 역할 집합입니다. 역할에서 IAM 조건을 설정할 수 있습니다.

  • 권한 부여가 지속될 수 있는 최대 기간입니다.

  • 선택사항: 요청에 일부 주 구성원 집합의 승인이 필요한지와 해당 주 구성원이 승인에 대한 근거를 제공해야 하는지 여부입니다.

  • 선택사항: 권한 부여 및 대기 중인 승인과 같은 중요한 이벤트에 대한 알림을 받을 추가 이해관계자입니다.

사용 권한에 요청자로 추가된 주 구성원은 해당 사용 권한에 대해 권한 부여를 요청할 수 있습니다. 성공하면 권한 부여 기간이 끝날 때까지 사용 권한에 나열된 역할이 부여되고 그 후에는 Privileged Access Manager에서 역할을 취소합니다.

사용 사례

Privileged Access Manager를 효과적으로 사용하려면 먼저 조직의 니즈를 해결할 수 있는 특정 사용 사례와 시나리오를 파악합니다. 이러한 사용 사례와 필수 요구사항 및 제어를 기반으로 Privileged Access Manager 사용 권한을 조정합니다. 여기에는 필요한 사유 및 승인과 함께 관련 사용자, 역할, 리소스, 기간을 매핑하는 것이 포함됩니다.

Privileged Access Manager는 영구 권한이 아닌 임시 권한을 부여하기 위한 일반적인 권장사항으로 사용될 수 있지만 다음과 같이 일부 시나리오에서는 일반적으로 사용될 수 있습니다.

  • 긴급 액세스 권한 부여: 일부 긴급 구조원이 승인을 기다릴 필요 없이 중요한 태스크를 수행하도록 허용합니다. 추가 컨텍스트를 얻기 위해 긴급 액세스 권한이 필요한 이유에 대한 근거를 요구할 수 있습니다.

  • 민감한 리소스에 대한 액세스 권한 제어: 승인 및 비즈니스 근거를 요구하여 민감한 리소스에 대한 액세스 권한을 엄격하게 제어합니다. Privileged Access Manager는 이 액세스 권한이 사용된 방식을 감사하는 데도 사용될 수 있습니다(예: 사용자에게 부여된 역할이 활성화된 시점, 해당 시간에 액세스할 수 있었던 리소스, 액세스 권한 근거, 승인한 사람).

    예를 들어 Privileged Access Manager를 사용하여 다음을 수행할 수 있습니다.

    • 문제 해결 또는 배포를 위해 개발자에게 프로덕션 환경에 대한 임시 액세스 권한을 부여합니다.

    • 특정 태스크를 위해 지원 엔지니어에게 민감한 고객 데이터에 대한 액세스 권한을 부여합니다.

    • 유지보수 또는 구성 변경을 위해 데이터베이스 관리자에게 승격된 권한을 부여합니다.

  • 세분화된 최소 권한 구현: 모든 사용자에게 관리자 역할 또는 광범위한 액세스 권한을 할당하면 공격 대상이 늘어날 수 있습니다. 이를 방지하기 위해 관리자는 최소 권한 영구 역할을 할당하고 권한 있는 액세스 관리자를 사용하여 필요한 경우 특정 작업에 대해 일시적이고 시간 제한이 있는 승격된 액세스 권한을 제공할 수 있습니다. 관리자는 태그 기반 조건으로 권한을 만들고 요청자가 맞춤 범위로 승인 요청을 만들도록 강제할 수 있으며 작업이 완료된 후 승인을 철회할 수 있습니다. 이렇게 하면 오용의 기회가 크게 줄어들고 '적시' 액세스 원칙이 강화됩니다.

  • 권한 있는 액세스 승인 자동화: 효율성을 높이기 위해 DevOps 파이프라인 내에서 서비스 계정을 승인자로 구성할 수 있습니다. 이러한 계정은 ITSM 시스템에서 직접 티켓을 검증하여 프로그래매틱 승인을 자동화할 수 있으므로 느린 수동 검사를 없앨 수 있습니다.

  • 서비스 계정 보호 지원: 서비스 계정에 역할을 영구 부여하는 대신 서비스 계정이 자동화된 태스크에 필요한 경우에만 역할을 자체 승격하고 수임하도록 허용합니다.

  • 내부자 위협 및 실수로 인한 오용 방지: 다자간 승인을 사용하면 의사결정에 두 단계의 승인을 추가할 수 있습니다. 이렇게 하면 단일 관리자 또는 보안 침해된 승인자 계정이 악성 액세스 요청을 승인하는 것과 관련된 위험이 줄어듭니다.

  • 계약업체 및 외부 인력에 대한 액세스 권한 관리: 계약업체 또는 외부 인력에게 리소스에 대한 한시적인 임시 액세스 권한을 부여합니다(승인 및 근거 필요).

기능 및 제한사항

다음 섹션에서는 Privileged Access Manager의 다양한 기능과 제한사항을 설명합니다.

지원되는 리소스

Privileged Access Manager는 프로젝트, 폴더, 조직에 대한 사용 권한을 만들고 권한 부여를 요청할 수 있습니다.

프로젝트, 폴더 또는 조직 내 리소스의 하위 집합에 대한 액세스 권한을 제한하려면 IAM 조건을 사용 권한에 추가하면 됩니다. Privileged Access Manager는 허용 정책 역할 바인딩에서 지원되는 모든 조건 속성을 지원합니다.

지원되는 역할

Privileged Access Manager는 사전 정의된 역할, 커스텀 역할, 관리자, 작성자, 리더 기본 역할을 지원합니다. Privileged Access Manager는 기존 기본 역할(소유자, 편집자, 뷰어)을 지원하지 않습니다.

지원되는 ID

Privileged Access Manager는 Cloud ID, 직원 ID 제휴, 워크로드 아이덴티티 제휴를 포함한 모든 유형의 ID를 지원합니다.

감사 로깅

사용 권한 생성, 요청 또는 권한 부여 검토와 같은 Privileged Access Manager 이벤트는 Cloud 감사 로그에 로깅됩니다. Privileged Access Manager에서 로그를 생성하는 이벤트의 전체 목록은 Privileged Access Manager 감사 로깅 문서를 참조하세요. 이러한 로그를 보는 방법은 Privileged Access Manager에서 사용 권한 및 권한 부여 이벤트 감사를 참조하세요.

다단계 및 다자간 승인

Privileged Access Manager 관리자는 다단계 및 복수 사용자 승인 체계를 설정할 수 있습니다. 이는 다음을 포함하는 사용 사례에 유용합니다.

  • 중요한 인프라를 수정하거나 민감한 정보에 액세스하는 등 위험성이 높은 작업
  • 직무 분리 시행
  • 서비스 계정을 지능형 승인자로 사용하여 동적 워크플로에서 다단계 승인 프로세스 자동화

이 기능을 사용하면 Privileged Access Manager 관리자가 권한별로 두 개 이상의 승인 수준을 요구할 수 있으므로 권한별로 최대 두 수준의 순차적 승인이 가능합니다. 관리자는 수준당 최대 5개의 승인을 요구할 수 있습니다. 자세한 내용은 권한 만들기를 참고하세요.

범위 맞춤설정

요청자는 사용 권한 범위 내에서 필요한 특정 역할과 리소스만 포함하도록 부여 요청의 범위를 맞춤설정할 수 있습니다. 자세한 내용은 일시적으로 승격된 액세스 권한 요청을 참고하세요.

서비스 계정 승인

권한이 있는 액세스 관리자 관리자는 서비스 계정을 승인자로 사용 설정할 수 있습니다. 이를 통해 관리자는 권한을 만들거나 수정할 때 서비스 계정 및 워크로드 아이덴티티 풀의 ID를 승인자로 추가할 수 있습니다. 자세한 내용은 Privileged Access Manager 설정 구성을 참고하세요.

상속 지원

조직 또는 폴더 수준에서 설정된 사용 권한 및 부여는 Google Cloud 콘솔의 하위 폴더 및 프로젝트에서 표시됩니다. 요청자는 이러한 권한을 기반으로 하위 리소스 내에서 직접 하위 리소스에 대한 액세스를 요청할 수 있습니다. 자세한 내용은 Privileged Access Manager로 일시적으로 승격된 액세스 권한 요청을 참고하세요.

알림 환경설정 맞춤설정

Privileged Access Manager 설정 관리자는 다양한 Privileged Access Manager 이벤트에 대해 리소스 전체 알림 환경설정을 맞춤설정할 수 있습니다. 이 설정을 사용하면 관리자가 특정 이벤트 및 특정 페르소나에 대한 알림을 선택적으로 사용 중지하거나 모든 알림을 사용 중지할 수 있습니다. 자세한 내용은 Privileged Access Manager 설정 구성을 참고하세요.

권한 부여 철회

요청자는 승인 대기 중인 권한 부여 요청을 철회하거나 권한이 있는 작업이 완료되거나 액세스가 더 이상 필요하지 않은 경우 활성 권한 부여를 종료할 수 있습니다. 조직에서는 권한 있는 액세스 기간을 실제로 필요한 시간으로만 제한하는 권장사항으로 이를 추천할 수 있습니다. 자세한 내용은 권한 철회를 참고하세요.

권한 부여 보관

권한 부여는 거부, 취소, 철회, 만료 또는 종료된 지 30일 후에 Privileged Access Manager에서 자동으로 삭제됩니다. 권한 부여 로그는 _Required 버킷의 로그 보관 기간 동안 Cloud 감사 로그에 보관됩니다. 이러한 로그를 보는 방법은 Privileged Access Manager에서 사용 권한 및 권한 부여 이벤트 감사를 참조하세요.

Privileged Access Manager 및 IAM 정책 수정

Privileged Access Manager는 리소스의 IAM 정책에서 역할 바인딩을 추가 및 삭제하여 임시 액세스 권한을 관리합니다. 이러한 역할 바인딩이 Privileged Access Manager 이외에서 수정되면 Privileged Access Manager가 예상대로 작동하지 않을 수 있습니다.

이 문제를 방지하려면 다음을 수행하는 것이 좋습니다.

  • Privileged Access Manager에서 관리하는 역할 바인딩을 수동으로 수정하지 마세요.
  • Terraform을 사용하여 IAM 정책을 관리하는 경우 신뢰할 수 있는 리소스 대신 신뢰할 수 없는 리소스를 사용해야 합니다. 이렇게 하면 선언적 IAM 정책 구성에 역할 바인딩이 없더라도 Terraform에서 Privileged Access Manager 역할 바인딩을 재정의하지 않습니다.

알림

Privileged Access Manager는 다음 섹션에 설명된 대로 Privileged Access Manager에서 발생하는 다양한 이벤트를 알릴 수 있습니다.

이메일 알림

Privileged Access Manager는 사용 권한 및 권한 부여 변경사항에 대한 이메일 알림을 관련 이해관계자에게 전송합니다. 수신자는 다음과 같습니다.

  • 자격 요건을 충족하는 사용 권한 요청자:

    • 사용 권한에서 요청자로 지정된 Cloud ID 사용자 및 그룹의 이메일 주소입니다.
    • 사용 권한에서 수동으로 구성된 이메일 주소:Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 요청자 추가 섹션에 있는 요청자 이메일 수신자 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소는 requesterEmailRecipients 필드에 표시됩니다.

  • 사용 권한 부여 승인자:

    • 승인 수준에서 승인자로 지정된 Cloud ID 사용자 및 그룹의 이메일 주소입니다.
    • 사용 권한에서 수동으로 구성된 이메일 주소:Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 승인자 추가 섹션에 있는 승인 이메일 수신자 필드에 표시됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소는 승인 워크플로 단계의 approverEmailRecipients 필드에 표시됩니다.

  • 사용 권한 관리자:

    • 사용 권한에서 수동으로 구성된 이메일 주소:Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 사용 권한 세부정보 섹션에 있는 관리자 이메일 수신자 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소는 adminEmailRecipients 필드에 표시됩니다.

  • 권한 부여 요청자:

    • 권한 부여 요청자가 Cloud ID 사용자인 경우 권한 부여 요청자의 이메일 주소입니다.
    • 권한 부여를 요청하는 동안에 요청자가 추가한 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 추가 이메일 주소 필드에 표시됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소는 additionalEmailRecipients 필드에 표시됩니다.

Privileged Access Manager는 다음 이벤트에 대한 이메일을 이러한 이메일 주소로 전송합니다.

수신자 이벤트
자격 요건을 충족하는 사용 권한 요청자 사용 권한이 할당되고 요청자가 사용할 수 있는 경우
사용 권한 부여 승인자 권한 부여가 요청되었으며 승인이 필요한 경우
권한 부여 요청자
  • 권한 부여가 활성화되거나 활성화되지 않는 경우
  • 권한 부여가 종료된 경우
  • 권한 부여가 거부된 경우
  • 권한 부여가 만료되는 경우(24시간 이내에 승인 또는 거부되지 않음)
  • 권한 부여가 취소된 경우
사용 권한 관리자
  • 권한 부여가 활성화되거나 활성화되지 않는 경우
  • 권한 부여가 종료된 경우

Pub/Sub 알림

Privileged Access Manager는 Cloud 애셋 인벤토리와 통합됩니다. Cloud 애셋 인벤토리 피드 기능을 사용하여 Pub/Sub를 통해 모든 권한 변경사항에 대한 알림을 수신할 수 있습니다. 권한 부여에 사용할 수 있는 애셋 유형은 privilegedaccessmanager.googleapis.com/Grant입니다.

다음 단계