클라우드 GCP IAM 1 / 역할 부여 1

Network 보안 구축 

IAM(Identity and Access Management)

IAP(Identity-Aware Proxy), VPC Networks Controlling Access

 

IAM

https://cloud.google.com/iam/docs/overview

개요  |  Cloud IAM 문서  |  Google Cloud

https://cloud.google.com/iam/docs/understanding-roles

역할 이해  |  Cloud IAM 문서  |  Google Cloud

# 역할

퍼미션이 모여있는 집합

퍼미션을 직접 부여하는것이 아니라 사용자에게 역할을 부여해주면 사용자에게 퍼미션이 부여되는것

특정한 사용자가 프로젝트안에 접근을 하게 되면 인증을 하고 접근을 하도록 하게 해준다

 

ex)

app engine admin이라는 역할이 부여되어있으면 사용자나 서비스계정구성원에게 역할을 위임할 수 있다

log viewer이라는 역할이 부여되어있으면  구글 그룹이나 회사 자체의 구글 도메인에 역할을 위임할 수 있다

이미 정해져있는 역할을 부여 함으로서 사용자에게 퍼미션을 부여한다

 

#역할의 종류

 IAM 환경에서 권한은 service.resource.verb 형식으로 표시

Compute Engine  에서 인스턴스 목록 확인 : compute.instance.list

                                    인스턴스 중지 : compute.instance.stop

컴퓨터 엔진의 인스턴스를 제어할수있는 권한

 

사용자 지정 역할을 생성하려면 iam.roles.create권한이 있어야 함.

조직 역할 관리자 :roles/iam.organizationRoleAdmin

IAM 역할 관리자 :  roles/iam/roleAdmin

IAM 보안 검토자 : roles/iam/SecurityReviewer 

 

# Cloud IAM의 2가지 역할

-사전 정의된 역할

-사용자 지정 역할

-사전 정의된 역할 은 Google에서 만들고 유지 관리함. Google Cloud에 새로운 기능이나 서비스가 추가되는 경우와 같이 필요에 따라 권한이 자동으로 업데이트됨.

https://cloud.google.com/iam/docs/understanding-roles#predefined_roles

 

-사용자 지정 역할 은 사용자가 정의하며 특정 요구 사항을 충족하기 위해 하나 이상의 지원되는 권한을 묶을 수 있음. 맞춤 역할은 Google에서 유지 관리하지 않음. 새 권한, 기능 또는 서비스가 GCP에 추가되면 커스텀 역할이 자동으로 업데이트되지 않음.

# 프로젝트 리소스에 대한 기본 roles

1. roles/viewer

상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 있습니다. 예를 들면 기존 리소스 또는 데이터의 조회(수정 제외)가 여기에 해당합니다.

 

2. roles/editor

모든 뷰어 권한에 더해 기존 리소스 변경과 같이 상태를 변경하는 작업에 대한 권한까지 포함됩니다.

 

3. roles/owner

모든 편집자 권한 및 다음 작업에 대한 권한:

프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리

프로젝트에 대한 결제 설정

 

폴더, 조직, Cloud IAM 정책을 포함한 프로젝트 계층 구조를 탐색할 수 있는 읽기 액세스 권한입니다. 프로젝트의 리소스를 볼 수 있는 권한은 포함되어 있지 않습니다.

 

 

# role  (뷰어 역할을 배당)

 

# 구성원 추가

리소스 관리에서 구성원을 추가하여 구성원에게 역할을 부여한다.

 

뷰어 - 상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 있다.

 

배당받은 프로젝트 리스트 확인

 

 

# 부여받은 역할로 프로젝트 보기