Identity and Access Management (IAM)에서는 주 구성원에 대한 액세스를 제어합니다. 주 구성원은 Google Cloud에 인증된 하나 이상의 ID를 나타냅니다.
정책에서 주 구성원 사용
정책에서 주 구성원을 사용하려면 다음을 수행합니다.
Google Cloud 가 인식할 수 있는 ID를 구성합니다. ID 구성은 Google Cloud 가 인식할 수 있는 ID를 만드는 프로세스입니다. 사용자 및 워크로드에 대해 ID를 구성할 수 있습니다.
ID를 구성하는 방법은 다음을 참조하세요.
사용할 주 구성원 식별자를 결정합니다. 주 구성원 식별자는 정책에서 주 구성원을 참조하기 위해 사용됩니다. 이 식별자는 단일 ID 또는 ID 그룹을 나타낼 수 있습니다.
주 구성원 식별자에 사용하는 형식은 다음에 따라 달라집니다.
- 주 구성원 유형
- 주 구성원을 포함할 정책 유형
각 정책 유형에서 각 유형의 주 구성원에 대한 주 구성원 식별자 형식을 보려면 주 구성원 식별자를 참조하세요.
식별자 형식을 확인한 후에는 주 구성원의 이메일 주소와 같은 주 구성원의 속성에 따라 주 구성원의 고유 식별자를 결정할 수 있습니다.
정책에 주 구성원의 식별자를 포함합니다. 정책 형식에 따라 정책에 주 구성원을 추가합니다.
IAM에서 다양한 정책 유형에 대해 알아보려면 정책 유형을 참조하세요.
주 구성원 유형 지원
각 IAM 정책 유형은 IAM이 지원하는 주 구성원 유형의 일부를 지원합니다. 각 정책 유형에 지원되는 주 구성원 유형을 보려면 주 구성원 식별자를 참조하세요.
주 구성원 유형
다음 표에서는 IAM에서 지원하는 다양한 주 구성원 유형을 간략하게 설명합니다. 정책에서 사용될 때 주 구성원 유형이 어떻게 표시되는지 자세한 설명과 예를 보려면 표에서 주 구성원 유형 이름을 클릭하세요.
| 주 구성원 유형 | 설명 | 단일 주 구성원 또는 주 구성원 집합 | Google 관리 또는 연합 | 정책 유형 지원 |
|---|---|---|---|---|
| Google 계정 | Google API 및 서비스와 상호작용하는 사용자를 나타내는 사용자 계정입니다. | 단일 주 구성원 | Google 관리 |
다음 정책 유형은 Google 계정을 지원합니다.
다음 정책 유형은 Google 계정을 지원하지 않습니다.
|
| 서비스 계정 | 사람이 아닌 머신 워크로드에서 사용하는 계정입니다. | 단일 주 구성원 | Google 관리 |
다음 정책 유형은 서비스 계정을 지원합니다.
다음 정책 유형은 서비스 계정을 지원하지 않습니다.
|
| 서비스 계정 집합 | 프로젝트, 폴더 또는 조직의 모든 서비스 계정 | 서비스 계정이 포함된 주 구성원 집합입니다. | Google 관리 |
다음 정책 유형은 서비스 계정 집합을 지원합니다.
다음 정책 유형은 서비스 계정 집합을 지원하지 않습니다.
|
| 서비스 에이전트 집합 | 프로젝트, 폴더 또는 조직과 연결된 모든 Google 관리 서비스 계정 (서비스 에이전트)입니다. | 서비스 에이전트가 포함된 주 구성원 집합입니다. | Google 관리 |
다음 정책 유형은 서비스 에이전트 집합을 지원합니다.
다음 정책 유형은 서비스 에이전트 집합을 지원하지 않습니다.
|
| Google 그룹스 | Google 계정이 있는 사람 또는 기계 사용자를 모아 이름을 붙인 컬렉션입니다. |
다음을 포함할 수 있는 주 구성원 집합
|
Google 관리 |
다음 정책 유형은 Google 그룹을 지원합니다.
다음 정책 유형은 Google 그룹을 지원하지 않습니다.
|
| 도메인 | 가상 그룹을 나타내는 Google Workspace 계정 또는 Cloud ID 도메인 그룹에는 실제 사용자와 서비스 계정이 모두 포함될 수 있습니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
Google 관리 |
다음 정책 유형은 도메인을 지원합니다.
|
allAuthenticatedUsers |
Google 계정으로 인증된 모든 서비스 계정과 인터넷 상의 모든 사용자를 나타내는 특수 식별자입니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
Google 관리 |
다음 정책 유형은 일부 리소스에 대해
다음 정책 유형은
|
allUsers |
인증된 사용자와 인증되지 않은 사용자를 포함하여 인터넷에 있는 모든 사용자를 나타내는 특수 식별자입니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
모두 |
다음 정책 유형은
다음 정책 유형은
|
| 직원 ID 풀의 단일 ID | 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 ID를 가진 실제 사용자입니다. | 단일 주 구성원 | 제휴 |
다음 정책 유형은 직원 ID 풀의 단일 ID를 지원합니다.
|
| 직원 ID 풀의 주 구성원 집합 | 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 ID를 가진 인간 사용자 집합입니다. | 직원 ID를 포함하는 주 구성원 집합입니다. | 제휴 |
다음 정책 유형은 직원 ID 풀의 주 구성원 집합을 지원합니다.
|
| 워크로드 아이덴티티 풀의 단일 주 구성원 | 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 ID가 있는 워크로드 (또는 머신 사용자)입니다. | 단일 주 구성원 | 제휴 |
다음 정책 유형은 워크로드 아이덴티티 풀의 단일 주 구성원을 지원합니다.
|
| 워크로드 아이덴티티 풀의 주 구성원 집합 | 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 ID가 있는 워크로드 (또는 머신 사용자) 집합입니다. | 워크로드 아이덴티티를 포함하는 주 구성원 집합 | 제휴 |
다음 정책 유형은 워크로드 아이덴티티 풀의 주 구성원 집합을 지원합니다.
|
| Google Kubernetes Engine 포드 집합 | GKE에서 실행되고 GKE를 통해 제휴된 워크로드 (또는 머신 사용자)입니다. | 하나 이상의 제휴 워크로드 ID를 포함할 수 있는 주 구성원 집합 | 제휴 |
다음 정책 유형은 GKE 포드를 지원합니다.
다음 정책 유형은 GKE 포드를 지원하지 않습니다.
|
| Resource Manager 주 구성원 집합 | 프로젝트, 폴더, 조직과 같은 Google Cloud 리소스와 연결된 사람 또는 머신 사용자 집합입니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
모두 |
다음 정책 유형은 Resource Manager 주 구성원 집합을 지원합니다.
다음 정책 유형은 Resource Manager 주 구성원 집합을 지원하지 않습니다.
|
다음 섹션에서는 이러한 주 구성원 유형에 대해 자세히 설명합니다.
Google 계정
Google 계정은 개발자, 관리자 또는 Google에서 만든 계정을 사용하여 Google Cloud 와 상호작용하는 모든 사람을 나타냅니다. 관리형 사용자 계정이라고도 부르는 Google 계정과 연결된 이메일 주소를 주 구성원으로 사용할 수 있습니다. 여기에는 gmail.com 이메일 주소 및 다른 도메인의 이메일 주소가 포함됩니다.
다음 예에서는 다양한 유형의 정책에서 Google 계정을 식별하는 방법을 보여줍니다.
- 허용 정책:
user:alex@example.com - 거부 정책:
principal://goog/subject/alex@example.com
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
허용 및 거부 정책에서 Google 계정 또는 관리 사용자 계정과 연결된 이메일 별칭은 기본 이메일 주소로 자동 대체됩니다. 즉, 이메일 별칭에 대한 액세스 권한을 부여하면 정책에 사용자 기본 이메일 주소가 표시됩니다.
Google 계정 설정에 대한 자세한 내용은 Cloud ID 또는 Google Workspace 계정을 참조하세요.
서비스 계정
서비스 계정은 개별 최종 사용자가 아닌 애플리케이션 또는 컴퓨팅 워크로드에 대한 계정입니다. 서비스 계정은 사용자 관리 서비스 계정과 Google 관리 서비스 계정(서비스 에이전트라고 함)으로 나눌 수 있습니다.
Google Cloud에서 호스팅되는 코드를 실행할 때는 애플리케이션의 ID로 사용할 서비스 계정을 지정합니다. 애플리케이션의 다양한 논리적 구성요소를 나타내는 데 필요한 만큼 사용자 관리 서비스 계정을 생성할 수 있습니다.
일부 Google Cloud 서비스는 사용자를 대신하여 작업을 실행할 수 있도록 리소스에 대한 액세스 권한이 필요합니다. Google은 이러한 요구사항을 충족하기 위해 서비스 에이전트를 만들고 관리합니다.
다음과 같은 방법으로 서비스 계정 및 서비스 에이전트를 참조할 수 있습니다.
- 단일 서비스 계정
- 프로젝트의 모든 서비스 계정
- 프로젝트와 연결된 모든 서비스 에이전트
- 폴더의 모든 프로젝트에 있는 모든 서비스 계정
- 폴더 및 그 하위 항목과 연결된 모든 서비스 에이전트
- 조직의 모든 프로젝트에 있는 모든 서비스 계정
- 조직 및 그 하위 항목과 연결된 모든 서비스 에이전트
다음 예에서는 다양한 유형의 정책에서 개별 서비스 계정을 식별하는 방법을 보여줍니다.
- 허용 정책의 서비스 계정:
serviceAccount:my-service-account@my-project.iam.gserviceaccount.com - 거부 정책의 서비스 계정:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com
다음 예에서는 다양한 유형의 정책에서 프로젝트, 폴더 또는 조직의 모든 서비스 계정을 식별하는 방법을 보여줍니다.
- 허용 정책의 프로젝트에 대한 모든 서비스 계정:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - 거부 정책의 폴더와 연결된 모든 서비스 에이전트:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
서비스 계정에 대한 자세한 내용은 다음 페이지를 참고하세요.
Google 그룹스
Google 그룹은 Google 계정에 이름을 붙인 모음입니다. 모든 Google 그룹에는 그룹과 연결된 고유한 이메일 주소가 있습니다. 모든 Google 그룹의 홈페이지에서 정보를 클릭하면 Google 그룹과 연결된 이메일 주소를 찾을 수 있습니다. Google 그룹스에 대한 자세한 내용은 Google 그룹스 홈페이지를 참조하세요.
Google 그룹스를 사용하면 여러 주 구성원 컬렉션에 액세스 제어를 편리하게 적용할 수 있습니다. 개별 주 구성원에 대해 한 번에 하나씩 권한을 부여하거나 액세스 제어를 변경하는 대신 전체 그룹에 대해 한꺼번에 액세스를 부여하거나 액세스 제어를 변경할 수 있습니다. 또한 주 구성원을 추가하거나 삭제하도록 허용 정책을 업데이트하는 대신 Google 그룹에서 주 구성원을 추가하거나 삭제할 수 있습니다.
Google 그룹스에는 로그인 사용자 인증 정보가 없으므로 Google 그룹스로 ID를 설정하여 리소스에 대한 액세스를 요청할 수 없습니다.
다음 예에서는 다양한 유형의 정책에서 Google 그룹을 식별하는 방법을 보여줍니다.
- 허용 정책:
group:my-group@example.com - 거부 정책:
principalSet://goog/group/my-group@example.com
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
액세스 제어를 위한 그룹 사용에 대해서는 Google 그룹스 사용 권장사항을 참조하세요.
도메인
도메인은 Google Workspace 계정 또는 Cloud ID 도메인으로 존재할 수 있습니다. 두 계정 모두 포함된 모든 Google 계정의 가상 그룹을 나타내므로 근본적으로 동일합니다. 유일한 차이점은 Cloud ID 도메인 사용자가 Google Workspace 애플리케이션과 기능에 액세스할 수 없다는 것입니다.
Google Workspace 계정 및 Cloud ID 도메인은 example.com과 같은 조직의 인터넷 도메인 이름과 연결됩니다.
username@example.com과 같은 새 사용자의 Google 계정을 만들면 Google 계정이 Google Workspace 계정 또는 Cloud ID 도메인의 가상 그룹에 추가됩니다.
Google 그룹스처럼 도메인을 ID 설정에 사용할 수 없지만 이 도메인을 사용하면 권한을 편리하게 관리할 수 있습니다.
다음 예는 다양한 유형의 정책에서 도메인을 식별하는 방법을 보여줍니다.
- 허용 정책:
domain:example.com - 거부 정책:
principalSet://goog/cloudIdentityCustomerId/C01Abc35 - 주 구성원 액세스 경계 정책:
//iam.googleapis.com/locations/global/workspace/C01Abc35
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
Cloud ID에 대한 자세한 내용은 Cloud ID 정보를 참고하세요.
허용 및 거부 정책에서 보조 도메인은 기본 도메인으로 자동 대체됩니다. 즉, 보조 도메인에 대한 액세스 권한을 부여하면 정책에 기본 도메인이 표시됩니다.
allAuthenticatedUsers
allAuthenticatedUsers 값은 모든 서비스 계정과 Google 계정으로 인증된 인터넷에서의 모든 사용자를 나타내는 특수 식별자입니다. 이 식별자에는 개인 Gmail 계정과 같이 Google Workspace 계정이나 Cloud ID 도메인에 연결되지 않은 계정이 포함됩니다. 익명 방문자와 같은 인증되지 않은 사용자는 포함되지 않습니다.
외부 ID 공급업체(IdP)에서 관리하는 제휴 ID는 이 주 구성원 유형에 포함되지 않습니다. 직원 ID 제휴 또는 워크로드 아이덴티티 제휴를 사용하는 경우 allAuthenticatedUsers를 사용하지 마세요. 대신 다음 중 하나를 사용합니다.
- 모든 IdP의 사용자를 포함하려면
allUsers를 사용합니다. - 특정 외부 IdP의 사용자를 포함하려면 직원 ID 풀의 모든 ID 또는 워크로드 아이덴티티 풀의 모든 ID에 대한 식별자를 사용합니다.
일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.
allUsers
allUsers 값은 인증 사용자와 미인증 사용자를 포함하여 인터넷 상의 모든 사용자를 나타내는 특수 식별자입니다.
일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.
다음 예시에서는 다양한 유형의 정책에서 allUsers 식별자가 어떻게 표시되는지 보여줍니다.
- 지원되는 리소스 유형의 허용 정책:
allUsers - 거부 정책:
principalSet://goog/public:all
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
직원 ID 풀의 제휴 ID
직원 ID 풀은 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 사용자 ID 집합입니다. 다음과 같은 방법으로 이러한 풀에서 주 구성원을 참조할 수 있습니다.
- 직원 ID 풀의 단일 ID
- 지정된 그룹의 모든 직원 ID
- 특정 속성값의 모든 직원 ID
- 직원 ID 풀의 모든 ID
다음 예에서는 다양한 유형의 정책에서 제휴 직원 ID 풀을 식별하는 방법을 보여줍니다.
- 허용 정책의 단일 ID:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - 거부 정책의 ID 그룹:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com - 주 구성원 액세스 경계 정책의 직원 ID 풀:
//iam.googleapis.com/locations/global/workforcePools/example-workforce-pool
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
워크로드 아이덴티티 풀의 제휴 ID
워크로드 아이덴티티 풀은 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 워크로드 ID 집합입니다. 다음과 같은 방법으로 이러한 풀에서 주 구성원을 참조할 수 있습니다.
- 워크로드 아이덴티티 풀의 단일 ID
- 지정된 그룹의 모든 워크로드 ID
- 특정 속성값의 모든 워크로드 ID
- 워크로드 아이덴티티 풀의 모든 ID
다음 예에서는 다양한 유형의 정책에서 제휴 워크로드 아이덴티티 풀을 식별하는 방법을 보여줍니다.
- 허용 정책의 단일 ID:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - 거부 정책의 ID 그룹:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com - 주 구성원 액세스 경계 정책의 워크로드 아이덴티티 풀:
//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
GKE 포드
GKE에서 실행되는 워크로드는 GKE용 워크로드 아이덴티티 제휴를 사용하여 Google Cloud 서비스에 액세스합니다. GKE 포드의 주 구성원 식별자에 대한 자세한 내용은 IAM 정책에서 Kubernetes 리소스 참조를 참조하세요.
다음 예시에서는 허용 정책에서 특정 클러스터의 모든 GKE 포드를 식별하는 방법을 보여줍니다.
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
Resource Manager 주 구성원 집합
각 Resource Manager 리소스(프로젝트, 폴더, 조직)는 주 구성원 집합과 연결됩니다. 주 구성원 액세스 경계 정책 바인딩을 만들 때는 Resource Manager 리소스의 주 구성원 집합을 사용하여 해당 리소스와 연결된 모든 주 구성원을 참조할 수 있습니다.
Resource Manager 리소스의 주 구성원 집합에는 다음 주 구성원이 포함됩니다.
- 프로젝트 주 구성원 집합: 지정된 프로젝트의 모든 서비스 계정 및 워크로드 아이덴티티 풀입니다.
- 폴더 주 구성원 집합: 지정된 폴더의 모든 프로젝트에 있는 모든 서비스 계정과 모든 워크로드 아이덴티티 풀입니다.
조직 주 구성원 집합: 다음 ID를 포함합니다.
- Google Workspace 고객 ID와 연결된 모든 도메인의 모든 ID
- 조직의 모든 직원 ID 풀
- 조직의 모든 프로젝트에 있는 모든 서비스 계정과 워크로드 아이덴티티 풀
다음 예시에서는 주 구성원 액세스 경계 정책에서 프로젝트의 주 구성원 집합을 식별하는 방법을 보여줍니다.
//cloudresourcemanager.googleapis.com/projects/example-project
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
다음 단계
- IAM이 지원하는 정책 유형 알아보기
- Resource Manager 프로젝트, 폴더, 조직에 대해 주 구성원에 역할 부여