IAM으로 액세스 제어

이 페이지에서는 Sensitive Data Protection 리소스에 대한 액세스를 제어하는 방법을 설명합니다.

Sensitive Data Protection은 Identity and Access Management (IAM)를 사용하여 리소스에 대한 액세스를 제어합니다. IAM은 리소스에 대해 세밀하게 조정된 승인을 관리하기 위한 도구입니다. Google Cloud 즉, IAM을 사용하면 누가 어떤 리소스에서 어떤 작업을 수행할 수 있는지 제어할 수 있습니다.

IAM을 사용하여 사용자에게 리소스에 대한 액세스 권한을 부여하려면 사용자에게 특정 역할을 부여합니다. IAM 역할은 주 구성원에게 Sensitive Data Protection 리소스에서 작업을 수행할 수 있는 권한을 부여합니다.

IAM 및 해당 기능에 대한 자세한 내용은 IAM 문서를 참조하세요.

Sensitive Data Protection 리소스에 대한 액세스 관리

IAM으로 액세스를 관리하는 가장 일반적인 방법은 허용 정책을 사용하는 것입니다. 허용 정책은 리소스에 액세스할 수 있는 주 구성원과 리소스에서 수행할 수 있는 작업을 나열합니다.

다음 섹션에서는 콘솔 및 Google Cloud CLI를 사용하여 허용 정책으로 단일 역할을 부여하고 취소하는 방법을 설명합니다. Google Cloud 여러 역할을 동시에 부여하고 취소할 수도 있습니다. 자세한 내용은 IAM 문서의 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 섹션에서는 프로젝트 및 프로젝트 내 모든 리소스에 대한 사용자 액세스를 제어하는 프로젝트 수준에서 액세스 권한을 부여하고 취소하는 데 중점을 둡니다.

다양한 리소스에 연결된 허용 정책을 사용하여 리소스 계층 구조의 다른 수준에서 액세스를 관리할 수도 있습니다. Google Cloud 자세한 내용은 IAM 문서의 액세스 제어를 위한 리소스 계층 구조 사용 을 참조하세요.

일부 리소스는 허용 정책을 지원하지 않습니다. 허용 정책을 연결할 수 있는 리소스를 알아보려면 IAM 문서의 허용 정책을 지원하는 리소스를 참조하세요.

거부 정책과 같이 IAM으로 액세스를 제어하는 데 사용할 수 있는 다른 정책을 알아보려면 IAM 정책 유형을 IAM 문서에서 참조하세요.

단일 IAM 역할 부여

주 구성원에 단일 역할을 부여하려면 다음을 수행합니다.

콘솔

  1. 콘솔에서 IAM 페이지로 이동합니다. Google Cloud

    IAM으로 이동

  2. 프로젝트, 폴더, 조직을 선택합니다.
  3. 역할을 부여할 주 구성원을 선택합니다.
    • 주 구성원에게 리소스에 대한 추가 역할을 부여하려면 주 구성원이 포함된 행을 찾고 해당 행에서 주 구성원 수정 을 클릭한 후 다른 역할 추가 를 클릭합니다.

      서비스 에이전트에 역할을 부여하려면 **제공 역할 부여 포함** 체크박스를 선택하여 이메일 주소를 확인합니다. Google

    • 리소스에 대한 기존 역할이 없는 주 구성원에게 역할을 부여하려면 액세스 권한 부여를 클릭한 후 주 구성원 식별자(예: my-user@example.com 또는 //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com)를 입력합니다.
  4. 드롭다운 목록에서 부여할 역할을 선택합니다. 보안 권장사항에 따라 주 구성원에게 필요한 권한만 포함된 역할을 선택합니다.
  5. 선택사항: 역할에 조건을 추가합니다.
  6. 저장을 클릭합니다. 주 구성원에게 리소스에 대한 역할이 부여됩니다.

gcloud

  1. 콘솔에서 Cloud Shell을 활성화합니다. Google Cloud

    Cloud Shell 활성화

    콘솔 하단에 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Google Cloud Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.

  2. add-iam-policy-binding 명령어를 사용하면 주 구성원에게 역할을 빠르게 부여할 수 있습니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • RESOURCE_TYPE: 액세스를 관리할 리소스 유형입니다. projects, resource-manager folders, 또는 organizations를 사용합니다.

    • RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    • PRINCIPAL: 주 구성원이나 구성원의 식별자로, 대개 PRINCIPAL_TYPE:ID 형식을 따릅니다. 예를 들면 user:my-user@example.com 또는 principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com입니다. PRINCIPAL에 지정할 수 있는 전체 값 목록은 주 구성원 식별자를 참조하세요.

      주 구성원 유형 user의 경우 식별자의 도메인 이름은 Google Workspace 도메인이나 Cloud ID 도메인이어야 합니다. Cloud ID 도메인을 설정하는 방법은 Cloud ID 개요를 참조하세요.

    • ROLE_NAME: 부여할 역할의 이름입니다. 다음 형식 중 하나를 사용하세요.

      • 사전 정의된 역할: roles/SERVICE.IDENTIFIER
      • 프로젝트 수준 커스텀 역할: projects/PROJECT_ID/roles/IDENTIFIER
      • 조직 수준 커스텀 역할: organizations/ORG_ID/roles/IDENTIFIER

      사전 정의된 역할의 목록은 역할 이해를 참조하세요.

    • CONDITION: 역할 바인딩에 추가할 조건입니다. 조건을 추가하지 않으려면 None 값을 사용하세요. 조건에 대한 자세한 내용은 조건 개요를 참조하세요.

    다음 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION

    Windows(PowerShell)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION

    Windows (cmd.exe)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION

    응답에는 업데이트된 IAM 허용 정책이 포함됩니다.

단일 IAM 역할 취소

주 구성원의 단일 역할을 취소하려면 다음을 수행합니다.

콘솔

  1. 콘솔에서 IAM 페이지로 이동합니다. Google Cloud

    IAM으로 이동

  2. 프로젝트, 폴더, 조직을 선택합니다.
  3. 액세스 권한을 취소하려는 주 구성원이 포함된 행을 찾으세요. 그런 다음 이 행에서 주 구성원 수정 을 클릭합니다.
  4. 취소하려는 역할의 삭제 버튼 을 클릭한 다음 저장을 클릭합니다.

gcloud

  1. 콘솔에서 Cloud Shell을 활성화합니다. Google Cloud

    Cloud Shell 활성화

    콘솔 하단에 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Google Cloud Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.

  2. 사용자에게서 역할을 취소하려면 remove-iam-policy-binding 명령어를 실행합니다.

    gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME

    다음 값을 제공합니다.

    • RESOURCE_TYPE: 액세스를 관리할 리소스 유형입니다. projects, resource-manager folders, organizations를 사용합니다.

    • RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    • PRINCIPAL: 주 구성원이나 구성원의 식별자로, 대개 PRINCIPAL_TYPE:ID 형식을 따릅니다. 예를 들면 user:my-user@example.com 또는 principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com입니다.

      주 구성원 유형 user의 경우 식별자의 도메인 이름은 Google Workspace 도메인이나 Cloud ID 도메인이어야 합니다. Cloud ID 도메인을 설정하는 방법은 Cloud ID 개요를 참조하세요.

    • ROLE_NAME: 취소할 역할의 이름입니다. 다음 형식 중 하나를 사용하세요.

      • 사전 정의된 역할: roles/SERVICE.IDENTIFIER
      • 프로젝트 수준 커스텀 역할: projects/PROJECT_ID/roles/IDENTIFIER
      • 조직 수준 커스텀 역할: organizations/ORG_ID/roles/IDENTIFIER

      사전 정의된 역할의 목록은 역할 이해를 참조하세요.

    예를 들어 프로젝트 example-project에 대해 서비스 계정 example-service-account@example-project.iam.gserviceaccount.com에서 프로젝트 생성자 역할을 취소하려면 다음을 실행합니다.

    gcloud projects remove-iam-policy-binding example-project \
      --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com \
      --role=roles/resourcemanager.projectCreator

필요한 역할을 취소하지 않도록 보장하기 위해 변경 위험 권장사항을 사용 설정할 수 있습니다. 변경 위험 권장사항은 에서 중요하다고 판단한 프로젝트 수준 역할을 취소하려고 시도할 때 경고를 생성합니다. Google Cloud

조건부 액세스

IAM 조건을 사용하면 특정 조건이 충족될 때만 주 구성원에 액세스 권한을 부여하여 정책을 더 세분화할 수 있습니다. 조건은 주 구성원, 리소스, 요청과 관련된 속성을 기반으로 합니다. 예를 들어 주 구성원이 특정 위치 또는 특정 시간에 리소스에 액세스하는 경우에만 액세스 권한을 부여할 수 있습니다.

허용 정책의 조건은 다음과 같은 속성 유형을 기반으로 합니다.

  • 리소스 속성: 리소스의 서비스, 유형 또는 이름을 포함합니다. 이러한 속성은 일반적으로 역할 바인딩에서 부여하는 액세스 범위를 변경하는 데 사용됩니다.
  • 요청 속성: 요청을 실행한 주 구성원의 시간 또는 액세스 수준과 같은 요청 세부정보를 포함합니다. 이러한 속성을 사용하면 액세스 수준, 날짜 및 시간, 대상 IP 주소 및 포트 또는 예상 URL 경로와 같은 요청에 대한 세부정보를 평가하는 조건을 만들 수 있습니다.

Sensitive Data Protection에서 지원하는 조건 속성에 대한 자세한 내용은 IAM 문서의 IAM 조건에 대한 속성 참조를 참조하세요.

Sensitive Data Protection 리소스에서 직접 조건부 액세스 권한을 부여할 수는 없습니다. 하지만 프로젝트, 폴더, 조직과 같은 컨테이너 리소스의 주 구성원에게 역할을 부여하고 이러한 역할 바인딩에 조건을 추가하여 Sensitive Data Protection 리소스 유형에 조건부 액세스 권한을 부여할 수 있습니다. 컨테이너 리소스의 허용 정책에 추가된 조건은 해당 컨테이너 리소스에 포함된 리소스에 의해 상속됩니다. 상속된 조건에 대한 자세한 내용은 IAM 문서의 상속된 조건 지원을 참조하세요.

역할 바인딩에 조건을 추가하는 방법을 알아보려면 IAM 문서의 조건부 역할 바인딩 관리 를 참조하세요.

다음 단계