권한 오류 해결

이 문서에서는 관리자가 조직의 사용자에게 발생한 권한 오류를 식별하고 해결하는 데 사용할 수 있는 다양한 방법을 설명합니다.

액세스 요청으로 인한 권한 오류 해결

관리자인 경우 Google Cloud 콘솔에서 권한 오류가 발생한 사용자로부터 액세스 요청을 받을 수 있습니다. 이러한 요청은 일반적으로 다음 대상에게 전송됩니다.

  • 조직의 기술 필수 연락처. 조직에서 필수 연락처를 사용 설정하고 자동 생성된 액세스 요청 이메일을 허용하는 경우Google Cloud 콘솔에서 권한 오류가 발생하는 사용자는 조직의 기술 필수 연락처에 자동 생성된 액세스 요청을 보낼 수 있습니다.

  • 선호하는 요청 관리 시스템을 통해 구성된 연락처 Google Cloud 콘솔에서 권한 오류가 발생하는 사용자는 액세스 요청 메시지를 복사한 후 원하는 요청 관리 시스템을 사용하여 보낼 수 있습니다.

이러한 메시지는 일반적으로 다음 형식을 갖습니다.

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

다음과 같은 방법으로 이러한 요청에 응답할 수 있습니다.

  • 액세스 직접 해결: 액세스 요청에는 Google Cloud 콘솔의 액세스 요청 패널로 연결되는 링크가 포함되어 있습니다. 권한 오류가 허용 정책으로 인해 발생한 경우 해당 패널에서 직접 액세스를 해결할 수 있습니다.

    액세스 요청 패널에서 요청 세부정보를 검토하고 요청에 응답하는 방법을 선택할 수 있습니다. 다음과 같은 방법으로 응답할 수 있습니다.

    • 요청된 역할 부여
    • 필요한 액세스 권한이 이미 있는 기존 그룹에 사용자 추가
    • 요청 거부

  • 정책 문제 해결 도구에서 추가 세부정보 보기: 액세스 요청에는 정책 문제 해결 도구 링크가 포함되어 있어 사용자의 액세스를 차단하는 정책을 확인할 수 있습니다. 이 정보를 사용하여 사용자의 액세스 문제를 해결하는 방법을 결정할 수 있습니다. 자세한 내용은 이 페이지의 권한 오류를 일으키는 정책 식별을 참조하세요.

  • 정책 문제 해결 도구로 액세스 문제 해결(프리뷰): 액세스 요청에는 요청 주체, 리소스, 권한 등 요청 세부정보를 설명하는 정책 해결 요약 링크도 포함되어 있습니다. 정책 수정 요약에서 허용 정책과 관련된 액세스 요청을 직접 해결하고 사용자 액세스를 차단하는 정책에 관한 자세한 정보를 확인할 수 있습니다.

    정책 수정 요약을 사용하여 액세스 요청을 해결하는 방법에 대한 자세한 내용은 액세스 문제 해결을 참조하세요.

권한 오류 수동 해결

조직에서 액세스 관련 정책을 수정할 권한이 있는 관리자는 오류를 유발하는 정책 유형과 관계없이 이러한 전략을 사용하여 권한 오류를 해결할 수 있습니다.

권한 오류를 해결하려면 먼저 오류를 일으키는 정책(허용, 거부 또는 주 구성원 액세스 경계)을 확인해야 합니다. 그런 다음 오류를 해결할 수 있습니다.

권한 오류를 일으키는 정책 식별

권한 오류를 일으키는 정책을 확인하려면 정책 문제 해결 도구를 사용하세요.

정책 문제 해결 도구를 사용하면 주 구성원이 리소스에 액세스할 수 있는지 파악할 수 있습니다. 주 구성원, 리소스, 권한을 입력하면 정책 문제 해결 도구가 주 구성원의 액세스에 영향을 미치는 허용 정책, 거부 정책, 주 구성원 액세스 경계(PAB) 정책을 조사합니다. 그런 다음 이러한 정책에 따라 주 구성원이 지정된 권한을 사용하여 리소스에 액세스할 수 있는지 여부를 알려줍니다. 또한 관련 정책을 나열하고 주 구성원의 액세스 권한에 미치는 영향을 설명합니다.

액세스 문제를 해결하고 정책 문제 해결 도구 결과를 해석하는 방법을 알아보려면 IAM 권한 문제 해결을 참조하세요.

Google Cloud 콘솔의 오류 메시지에는 요청에 관련된 주체, 권한, 리소스에 대한 정책 문제 해결 도구 수정 페이지(프리뷰) 링크가 포함됩니다. 이 링크를 보려면 문제 해결 세부정보 보기를 클릭한 다음 정책 문제 해결 도구를 클릭하세요. 자세한 내용은 액세스 요청 해결을 참조하세요.

액세스 권한을 업데이트하여 권한 오류 해결

권한 오류를 일으키는 정책을 파악한 후 오류를 해결하기 위한 조치를 취할 수 있습니다.

오류를 해결하려면 허용, 거부 또는 주 구성원 액세스 경계 정책을 만들거나 업데이트해야 하는 경우가 많습니다.

하지만 정책 업데이트와 관련이 없는 오류를 해결하는 다른 옵션도 있습니다. 예를 들어 필요한 권한이 있는 그룹에 사용자를 추가하거나 태그를 추가하여 리소스를 정책에서 제외할 수 있습니다.

다양한 정책 유형으로 인해 발생하는 권한 오류를 해결할 수 있는 다양한 방법을 알아보려면 다음을 참조하세요.

허용 정책 권한 오류 해결

허용 정책으로 인해 발생하는 권한 오류를 해결하려면 다음 중 하나를 수행하세요.

필수 권한이 있는 역할 부여

필요한 권한이 있는 역할을 찾아 부여하려면 다음 단계를 따르세요.

  1. 누락된 권한이 포함된 IAM 역할을 식별합니다.

    특정 권한이 포함된 모든 역할을 확인하려면 IAM 역할 및 권한 색인에서 권한을 검색한 다음 권한 이름을 클릭하세요.

    사전 정의된 역할이 사용 사례와 일치하지 않는 경우 대신 커스텀 역할을 만들 수 있습니다.

  2. 역할을 부여할 주 구성원을 식별합니다.

    • 권한이 필요한 사용자가 한 명뿐인 경우 사용자에게 직접 역할을 부여합니다.
    • 사용자가 모두 비슷한 권한이 필요한 사용자들로 구성된 Google 그룹에 속해 있는 경우 그룹에 역할을 부여하는 것이 좋습니다. 그룹에 역할을 부여하면 해당 그룹의 모든 구성원이 이 권한을 사용할 수 있습니다. 단, 사용이 명시적으로 거부된 경우는 예외입니다.

  3. 주 구성원에게 역할을 부여합니다.

Privileged Access Manager 사용 권한에 대한 권한 부여 승인

Privileged Access Manager 사용 권한을 사용하면 사용자에게 특정 IAM 역할을 부여하도록 요청할 수 있습니다. 사용자의 권한 부여 요청을 승인하면 요청된 역할이 일시적으로 부여됩니다.

사용자에게 필요한 권한이 포함된 역할이 있는 Privileged Access Manager 사용 권한이 이미 있는 경우 해당 사용 권한에 대한 부여를 요청할 수 있습니다. 사용자가 권한 부여를 요청하면 권한 부여를 승인하여 권한 오류를 해결할 수 있습니다.

사용자에게 권한이 없는 경우 사용자가 부여를 요청할 수 있도록 새 권한을 만들 수 있습니다.

Google 그룹에 사용자 추가

Google 그룹에 리소스에 대한 역할이 부여되면 해당 그룹의 모든 구성원이 해당 역할의 권한을 사용하여 리소스에 액세스할 수 있습니다.

필요한 권한이 있는 역할이 기존 그룹에 이미 부여된 경우 해당 그룹에 사용자를 추가하여 사용자에게 필요한 권한을 부여할 수 있습니다.

  1. 필요한 권한이 있는 역할을 포함하는 그룹을 식별합니다. 이미 정책 문제 해결 도구를 사용하여 요청 문제를 해결한 경우 정책 문제 해결 도구 결과를 검토하여 필요한 권한이 있는 그룹을 식별할 수 있습니다.

    또는 정책 분석 도구를 사용하여 필요한 권한이 있는 그룹을 식별할 수 있습니다.

  2. 그룹에 사용자를 추가합니다.

거부 정책 권한 오류 해결

거부 정책과 관련된 권한 오류를 해결하려면 다음 중 하나를 수행하세요.

거부 정책의 적용 대상에서 자신을 제외하기

거부 규칙으로 인해 사용자가 리소스에 액세스할 수 없는 경우 다음 중 하나를 수행하여 사용자를 규칙에서 제외할 수 있습니다.

  • 거부 규칙에 사용자를 예외 주 구성원으로 추가합니다. 예외 주 구성원은 거부 규칙에 포함된 그룹에 속하더라도 거부 규칙의 영향을 받지 않는 주 구성원입니다.

    거부 규칙에 예외 주 구성원을 추가하려면 거부 정책을 업데이트하는 단계를 따르세요. 거부 정책을 업데이트할 때 액세스를 차단하는 거부 규칙을 찾은 다음 사용자의 주 구성원 식별자를 예외 주 구성원으로 추가합니다.

  • 규칙에서 제외된 그룹에 사용자를 추가합니다. 그룹이 예외 주 구성원으로 나열되면 해당 그룹의 모든 구성원이 거부 규칙에서 제외됩니다.

    사용자를 예외 그룹에 추가하려면 다음 단계를 따르세요.

    1. 정책 문제 해결 도구를 사용하여 리소스에 대한 액세스를 차단하는 거부 정책을 식별합니다.
    2. 거부 정책 보기
    3. 그룹의 예외 주 구성원 목록을 확인합니다.
    4. 예외 그룹을 식별한 경우 사용자를 그룹에 추가합니다.

거부 정책에서 권한 삭제

거부 규칙은 나열된 주 구성원이 특정 권한을 사용하지 못하게 합니다. 거부 규칙으로 인해 사용자가 리소스에 액세스할 수 없는 경우 거부 규칙에서 필요한 권한을 삭제하면 됩니다.

거부 규칙에서 권한을 삭제하려면 거부 정책을 업데이트하는 단계를 따르세요. 거부 정책을 업데이트할 때 액세스를 차단하는 거부 규칙을 찾은 후 다음 중 하나를 수행합니다.

  • 거부 정책에 필수 권한이 개별적으로 나열되어 있는 경우 필수 권한을 찾아 거부 규칙에서 삭제합니다.
  • 거부 규칙에서 권한 그룹을 사용하는 경우 필요한 권한을 예외 권한으로 추가합니다. 예외 권한은 규칙에 포함된 권한 그룹에 속해 있더라도 거부 규칙에 의해 차단되지 않는 권한입니다.

거부 정책에서 리소스 제외

거부 정책의 조건을 사용하여 리소스의 태그에 따라 거부 규칙을 적용할 수 있습니다. 리소스의 태그가 거부 규칙의 조건을 충족하지 않으면 거부 규칙이 적용되지 않습니다.

거부 규칙으로 인해 리소스에 대한 액세스가 차단되는 경우 거부 규칙의 조건이나 리소스의 태그를 수정하여 거부 규칙이 리소스에 적용되지 않도록 할 수 있습니다.

주 구성원 액세스 경계 정책 권한 오류 해결

기본적으로 주 구성원은 모든 Google Cloud 리소스에 액세스할 수 있습니다. 하지만 주 구성원 액세스 경계 정책이 적용되는 경우 주 구성원에게 적용되는 주 구성원 액세스 경계 정책에 나열된 리소스에만 액세스할 수 있습니다. 이러한 경우 주 구성원 액세스 경계 정책으로 인해 주 구성원이 리소스에 액세스하지 못할 수 있습니다.

주 구성원 액세스 경계 정책과 관련된 오류를 해결하려면 다음 중 하나를 수행합니다.

주 구성원 액세스 경계 정책에 리소스 추가

사용자에게 적용되는 주 구성원 액세스 경계 정책에 리소스가 포함되어 있으면 사용자는 해당 리소스에 액세스할 수 있습니다.

주 구성원 액세스 경계 정책에 리소스를 추가하려면 다음 중 하나를 수행하세요.

특정 주 구성원을 제외하는 조건 추가

주 구성원 액세스 경계 정책 바인딩의 조건을 사용하여 주 구성원 액세스 경계 정책이 적용되는 주 구성원을 미세 조정할 수 있습니다.

사용자에게 주 구성원 액세스 경계 정책을 적용하지 않으려면 주 구성원 액세스 경계 정책 바인딩의 조건을 사용하여 사용자에게 주 구성원 액세스 경계 정책을 적용하지 않도록 하면 됩니다.

이 방법으로 오류를 해결하려면 사용자가 적용되는 모든 주 구성원 액세스 경계 정책에서 사용자를 제외해야 합니다. 이렇게 하면 사용자가 모든 Google Cloud 리소스에 액세스할 수 있게 됩니다.

이 방법은 사용하지 않는 것이 좋습니다. 대신 주 구성원 액세스 경계 정책에 리소스를 추가하는 것이 좋습니다.

사용자에게 적용되는 주 구성원 액세스 경계 정책을 보려면 사용자가 포함된 주 구성원 집합의 정책 바인딩을 나열합니다. 각 바인딩은 주 구성원 집합에 바인딩된 주 구성원 액세스 경계 정책을 나타냅니다.

주 구성원 액세스 경계 정책 바인딩에 조건을 추가하는 방법은 주 구성원 액세스 경계 정책의 기존 정책 바인딩 수정을 참조하세요.

다음 단계