IAM 추천자가 보안 주체에게 과도한 권한이 있다고 식별하면 보안 주체의 영구 역할 바인딩을 Privileged Access Manager (PAM)의 임시 주문형 사용 권한으로 전환하여 발견 사항을 해결할 수 있습니다.
이 접근 방식을 사용하면 드물지만 중요한 작업에 필요할 수 있는 액세스 권한을 영구적으로 취소할 위험 없이 최소 권한 태세를 달성할 수 있습니다.
시작하기 전에
- 역할이 부여된 리소스 (프로젝트, 폴더 또는 조직)에 Privileged Access Manager가 온보딩되고 사용 설정되어 있는지 확인합니다.
- 이 가이드를 완료하는 데 필요한 권한이 있는지 확인합니다.
필수 역할 및 권한
이 가이드의 태스크를 완료하는 데 필요한 권한을 얻으려면 관리자에게 Google Cloud 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
역할 추천을 보려면 다음 단계를 따르세요.
- 추천자 IAM 관리자 (
roles/recommender.iamAdmin) - 추천자 IAM 뷰어 (
roles/recommender.iamViewer)
- 추천자 IAM 관리자 (
-
Privileged Access Manager (PAM) 사용 권한을 만들려면 다음 단계를 따르세요.
- Privileged Access Manager 관리자 (
roles/privilegedaccessmanager.admin) - 프로젝트 IAM 관리자 (
roles/resourcemanager.projectIamAdmin)
- Privileged Access Manager 관리자 (
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 이 가이드의 작업을 완료하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
이 가이드의 태스크를 완료하려면 다음 권한이 필요합니다.
-
역할 추천을 보려면 다음 단계를 따르세요.
-
recommender.iamPolicyInsights.list -
recommender.iamPolicyRecommendations.list -
resourcemanager.projects.get
-
-
PAM 사용 권한을 만들려면 다음 단계를 따르세요.
-
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.locations.get -
resourcemanager.projects.get -
resourcemanager.projects.setIamPolicy
-
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
역할을 Privileged Access Manager 사용 권한으로 전환
역할을 Privileged Access Manager 사용 권한으로 전환하면 IAM 추천 도구가 Privileged Access Manager와 협력하여 사용 권한을 만들고 원래 영구 역할 바인딩을 삭제합니다. Google Cloud 콘솔의 보안 통계 페이지 또는 IAM 페이지에서 이 작업을 수행할 수 있습니다.
보안 통계
보안 통계 페이지에서 역할을 전환하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAM 및 관리자 > 보안 통계 페이지로 이동합니다.
과도한 권한이 있는 상위 위험도의 그룹 위젯을 찾습니다.
권한을 수정하려는 그룹의 통계 열에서 해당 링크를 클릭합니다.
해결하려는 통계 유형에 대해 추천 보기를 클릭합니다.
개요 페이지에서 역할 삭제 및 역할에 주문형 액세스 권한 부여를 선택합니다.
필요한 역할이 있는 사용 권한을 만들려면 필수 세부정보를 입력하고 적용을 클릭합니다. 양식의 역할 및 리소스 필드는 권장사항에 따라 자동 입력됩니다. 기간은 기본적으로 8시간입니다. 자세한 내용은 사용 권한 만들기를 참고하세요.
Privileged Access Manager는 구성을 기반으로 새 사용 권한을 만들고 리소스의 허용 정책에서 영구 역할 바인딩을 삭제합니다.
액세스 권한 변경사항이 적용되는 데 1~2분이 걸립니다.
IAM
IAM 페이지에서 역할을 전환하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
주 구성원 목록에서 권한을 수정할 그룹을 찾습니다.
해당 그룹 주체에 대한 추천을 보려면 보안 통계 열에서 통계를 클릭합니다.
개요 페이지에서 역할 삭제 및 역할에 주문형 액세스 권한 부여를 선택합니다.
필요한 역할이 있는 사용 권한을 만들려면 필수 세부정보를 입력하고 적용을 클릭합니다. 양식의 역할 및 리소스 필드는 권장사항에 따라 자동 입력됩니다. 기간은 기본적으로 8시간입니다. 자세한 내용은 사용 권한 만들기를 참고하세요.
Privileged Access Manager는 구성을 기반으로 새 사용 권한을 만들고 리소스의 허용 정책에서 영구 역할 바인딩을 삭제합니다.
액세스 권한 변경사항이 적용되는 데 1~2분이 걸립니다.
추천 되돌리기
권장사항을 되돌리려면 권장사항 되돌리기를 참고하세요.
권장사항을 되돌리면 시스템에서 원래 IAM 바인딩을 복원하고 생성된 Privileged Access Manager 사용 권한을 삭제합니다.