본문 바로가기
CSP (Cloud Service Provider)/GCP

Cloud IAM(Identity and Access Management)​ (1) 주 구성원

by BTC_yljo 2022. 6. 16.

안녕하세요, Hallo 팀입니다. 이번 포스팅부터 GCP의 Cloud IAM에 대해 알아보도록 하겠습니다.

 

IAM(Identity and Access Management)​이란?

IAM을 사용하면 누구(ID)에게 무슨 리소스에 대한 어떤 액세스 권한(역할)이 있는지 정의하여 액세스 제어를 관리할 수 있습니다. 이러한 IAM을 설정할 때에는 최소 권한의 원칙에 따라 불필요한 권한을 갖지 않도록 하는 것이 중요합니다.

 

GCP IAM에서는 조직 전체에 적용되는 통합 보기를 제공하고 있으며, 규정 준수 프로세스를 간편하게 돕는 감사 기능 내장​되어 있습니다. 또한 IAM을 통해서 클라우드 리소스를 중앙에서 쉽게 관리 가능하며, IAM 정책을 만들면 ID별, 개별 리소스 별로 역할을 부여하고 설정하는 것이 가능합니다.

 

IAM에서 리소스 액세스 권한은 최종 사용자에게 직접 부여되지 않습니다. 대신 권한이 역할로 그룹화되고 역할은 인증된 주 구성원에게 부여됩니다. IAM 정책이라고도 하는 허용 정책은 어떤 주 구성원에게 어떤 역할이 부여되는지 정의하고 적용합니다. 각 허용 정책은 리소스에 연결됩니다. 인증된 주 구성원이 리소스에 액세스를 시도하면 IAM은 리소스의 허용 정책을 확인하여 작업 허용 여부를 결정합니다.

 

IAM의 권한 관리

IAM에는 주 구성원(ID), 역할(Role), 정책(Policy)의 세 가지 주요 부분이 있습니다.

IAM의 각 부분 중 주 구성원에 대해서 알아보겠습니다.

 

Cloud IAM에서 사용하는 ID

IAM에서는 주 구성원에게 액세스 권한을 제공합니다. 주 구성원은 다음 유형 중 하나일 수 있습니다.

 

1. Google 계정

개별 사용자 계정을 의미합니다.  Google 계정과 연결된 모든 이메일 주소는 ID가 될 수 있고, gmail.com 및 기타 도메인을 사용할 수 있습니다. 

 

2. 서비스 계정

서비스 계정은 개별 최종 사용자가 아닌 애플리케이션 또는 컴퓨팅 워크로드가 속한 계정입니다. GCP에서 호스팅되는 코드를 실행할 때, 코드를 실행하는 서비스 계정을 지정할 수 있습니다​. 애플리케이션의 다양한 논리적 구성요소를 나타내는 데 필요한 개수대로 서비스 계정을 생성할 수 있습니다. 

 

3. Google 그룹​

여러 Google 계정과 서비스 계정을 모아 이름을 붙인 계정 컬렉션​으로, 모든 그룹에는 그룹과 연결된 고유 이메일 주소가 존재​합니다. 개별 사용자와 서비스 계정에 대해 한 번에 하나씩 액세스 제어 권한을 부여하거나 변경하는 대신 전체 그룹에 대해 액세스 제어 권한을 한꺼번에 부여하고 변경할 수 있습니다. 또한 그룹의 주 구성원을 쉽게 추가하고 삭제할 수 있습니다.

 

4. Google Workspace 계정

Google Workspace 계정은 조직의 Google Workspace 계정에서 생성된 모든 Google 계정으로 구성된 가상 그룹​을 의미합니다. Google Workspace 계정은 조직의 인터넷 도메인 이름과 연결되며, 새로운 사용자의 Google 계정을 만들면 계정이 Google Workspace 계정의 가상 그룹에 추가됩니다.

 

5. Cloud ID 도메인

Cloud ID 도메인은 조직 내 모든 Google 계정의 가상 그룹을 나타내므로 Google Workspace 계정과 유사하지만 Cloud ID 도메인 사용자는 Google Workspace 애플리케이션과 기능에 액세스할 수 없다는 차이가 있습니다.

6. 인증된 모든 사용자

allAuthenticatedUsers 값은 모든 서비스 계정과 Google 계정으로 인증된 인터넷에서의 모든 사용자를 나타내는 특수 식별자입니다. 이 식별자에는 개인 Gmail 계정과 같이 Google Workspace 계정이나 Cloud ID 도메인에 연결되지 않은 계정이 포함되지만, 익명 방문자와 같은 인증되지 않은 사용자는 포함되지 않습니다. GCP의 일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.

 

7. 모든 사용자

allUsers 값은 인증 사용자와 미인증 사용자를 포함하여 인터넷 상의 모든 사용자를 나타내는 특수 식별자로, GCP의 일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.

 

 

다음 포스팅에서는 Cloud IAM의 역할에 대해 알아보겠습니다.

 

 

 

 

출처 https://cloud.google.com/iam/docs/overview?hl=ko 

 

IAM 개요  |  IAM 문서  |  Google Cloud

Google Cloud의 Identity and Access Management(IAM) 시스템 작동 방식과 이를 사용하여 Google Cloud의 액세스를 관리하는 방법

cloud.google.com

 

저작자표시 비영리

'CSP (Cloud Service Provider) > GCP' 카테고리의 다른 글

[Google Cloud Platform] GCP 스토리지, 컨테이너 - STRUCTURED DATA(3)  (0) 2022.06.17
[GCP]gke 클러스터 저장소 구성(볼륨)  (0) 2022.06.17
[GCP] Cloud Dataflow  (0) 2022.06.16
[GKE] Service Mesh Architecture과 Istio  (0) 2022.06.12
[Google Cloud Platform] 스토리지, 컨테이너 - STRUCTURED DATA(2)  (0) 2022.06.10

관련글

댓글

티스토리툴바