Network 보안 구축
IAM(Identity and Access Management)
IAP(Identity-Aware Proxy), VPC Networks Controlling Access
IAM
https://cloud.google.com/iam/docs/overview
https://cloud.google.com/iam/docs/understanding-roles
# 역할
퍼미션이 모여있는 집합
퍼미션을 직접 부여하는것이 아니라 사용자에게 역할을 부여해주면 사용자에게 퍼미션이 부여되는것
특정한 사용자가 프로젝트안에 접근을 하게 되면 인증을 하고 접근을 하도록 하게 해준다
ex)
app engine admin이라는 역할이 부여되어있으면 사용자나 서비스계정구성원에게 역할을 위임할 수 있다
log viewer이라는 역할이 부여되어있으면 구글 그룹이나 회사 자체의 구글 도메인에 역할을 위임할 수 있다
이미 정해져있는 역할을 부여 함으로서 사용자에게 퍼미션을 부여한다
#역할의 종류
IAM 환경에서 권한은 service.resource.verb 형식으로 표시
Compute Engine 에서 인스턴스 목록 확인 : compute.instance.list
인스턴스 중지 : compute.instance.stop
컴퓨터 엔진의 인스턴스를 제어할수있는 권한
사용자 지정 역할을 생성하려면 iam.roles.create권한이 있어야 함.
조직 역할 관리자 :roles/iam.organizationRoleAdmin
IAM 역할 관리자 : roles/iam/roleAdmin
IAM 보안 검토자 : roles/iam/SecurityReviewer
# Cloud IAM의 2가지 역할
-사전 정의된 역할
-사용자 지정 역할
-사전 정의된 역할 은 Google에서 만들고 유지 관리함. Google Cloud에 새로운 기능이나 서비스가 추가되는 경우와 같이 필요에 따라 권한이 자동으로 업데이트됨.
https://cloud.google.com/iam/docs/understanding-roles#predefined_roles
-사용자 지정 역할 은 사용자가 정의하며 특정 요구 사항을 충족하기 위해 하나 이상의 지원되는 권한을 묶을 수 있음. 맞춤 역할은 Google에서 유지 관리하지 않음. 새 권한, 기능 또는 서비스가 GCP에 추가되면 커스텀 역할이 자동으로 업데이트되지 않음.
# 프로젝트 리소스에 대한 기본 roles
1. roles/viewer
상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 있습니다. 예를 들면 기존 리소스 또는 데이터의 조회(수정 제외)가 여기에 해당합니다.
2. roles/editor
모든 뷰어 권한에 더해 기존 리소스 변경과 같이 상태를 변경하는 작업에 대한 권한까지 포함됩니다.
3. roles/owner
모든 편집자 권한 및 다음 작업에 대한 권한:
프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리
프로젝트에 대한 결제 설정
폴더, 조직, Cloud IAM 정책을 포함한 프로젝트 계층 구조를 탐색할 수 있는 읽기 액세스 권한입니다. 프로젝트의 리소스를 볼 수 있는 권한은 포함되어 있지 않습니다.
# role (뷰어 역할을 배당)
# 구성원 추가
리소스 관리에서 구성원을 추가하여 구성원에게 역할을 부여한다.
뷰어 - 상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 있다.
배당받은 프로젝트 리스트 확인
# 부여받은 역할로 프로젝트 보기
'클라우드 > 클라우드(Public Cloud)' 카테고리의 다른 글
클라우드 GCP IAM 3 / 인스턴스, 방화벽규칙 (0) | 2021.08.25 |
---|---|
클라우드 GCP IAM 2 / 역할 부여 2 - 스토리지 (0) | 2021.08.25 |
클라우드 GCP 쿠버네티스 Google Kubernetes Engine ( GKE ) 3 / CI 와 CD (0) | 2021.07.23 |
클라우드 GCP 쿠버네티스 Google Kubernetes Engine ( GKE ) 2 (0) | 2021.07.23 |
클라우드 GCP 쿠버네티스 Google Kubernetes Engine ( GKE ) 1 (0) | 2021.07.23 |