Cloud Identity and Access Management 정리


이 글은 Google Cloud Identity and Access Management에 대한 기초지식을 정리한 글입니다..
Google Cloud Platform (GCP)는 이것을 Cloud IAM이라고 이름붙였습니다.  그리고 이것을 통해서 당신은 누가(identity) 무슨 권한(role)을 가지고 어디(resource)에 접근할지를 조절할수 있습니다IAM
Cloud IAM을 이용함으로서 당신은 특정 GCP resources에 세밀한 접근과 다른 리소스들에 대한 원치않는 접근을 승인할수 있게 됩니다. Cloud IAM은 최소 권한의 보안 원칙(PoLP)을 채택하여 리소스에 필요한 액세스 권한만 부여합니다.


Cloud IAM에서 , 당신은 members들에게 권한을 줄수 있습니다.
Members은 다음과 같은 형식을 따릅니다

  • Google account
  • Service account
  • Google group
  • G Suite domain
  • Cloud Identity domain

Google account

구글 계정은 developer, an administrator, 또는 GCP에 관여하는 사람을 나타냅니다. 구글 계정과 관련된 이메일 주소로 인증을 받을수 있는 계정을 의미합니다. 여기에는 다른 도메인의 메일주소도 포함됩니다. 기본적으로는 *@gmail.com 입니다.

Service account

서비스계정(service account)은 당신이 만든 어플리케이션에 속해 있는 계정입니다. 당신이 GCP를 이용해서 코드를 돌리고 호스팅을 하고 있다면 이에 대한 권한을 가진 계정을 지정할 수 있습니다. 애플리케이션의 각각의 다양한 논리 구성 요소를 나타내는 데 필요한 만큼의 서비스 계정을 생성할 수 있습니다.

Google group

구글그룹(Google group)은 구글계정과 서비스계정의 모음입니다. 각각의 그룹은 고유한 이메일 주소를 가집니다. 이를 통해 그룹에 속한 계정들에게 이메일을 보낼수 있습니다.
구글 그룹은 사용자들의 접근을 구성을 편하게 할수 있습니다. 만약 당신이 구글 그룹의 권한을 조절한다면, 개개인의 권한을 일일히 조절할 필요없이 구글 그룹에 대한 권한을 바꿈으로 한번에 조절할수 있습니다.  또한 단순히 구글 그룹에 인원을 추가,배제함으로서 Cloud IAM에 들어가 사용자를 추가,삭제 하는 것과 동일한 효과를 볼 수 있습니다. 
다만 Google 그룹에는 로그인 자격 증명이 없으므로 Google 그룹을 사용하여 신원을 확인하여 리소스에 액세스하도록 요청할 수 없습니다.

G Suite domain

G Suite domain은 조직의 G Suite에서 만들어진 구글계정으로 이루어진 가상의 그룹을 나타냅니다.예를 들어 당신이 haruharusalda.ga라는 이름의 G Suite도메인을 가지고 있고 username이라는 사용자를 추가한다면 username@haruharusalda.ga의 이메일 주소를 가진 사용자가 가상의 그룹에 추가가 됩니다.
구글 그룹과 마찬가지로 G Suite domains는 자격 증명에 사용될 수 없지만 편리하게 권한제어를 할 수 있습니다.

Cloud Identity domain

Cloud Identity domain은 G Suite domain과 같이 구글계정으로 이루어진 가상의 그룹이라는 점에서 비슷합니다. 하지만 G Suite 어플리케이션과 기능에 대해서 접근할수 없습니다.

allAuthenticatedUsers

이 ID는 Google 계정 또는 서비스 계정으로 인증 된 모든 사용자를 나타내는 특수 식별자입니다. 익명 방문자와 같이 인증되지 않은 사용자는 포함되지 않습니다.

allUsers

이것은 인증 된 사용자와 인증되지 않은 사용자를 포함하여 인터넷에있는 모든 사용자를 나타내는 특수 식별자입니다. 일부 GCP API는 서비스에 액세스하는 모든 사용자의 인증을 요구하며,이 경우 모든 사용자는 모든 인증 된 사용자에 대한 승인만을 암시합니다.


When an authenticated member attempts to make a request, Cloud IAM makes an authorization decision about whether the member is allowed to perform the operation on a resource.
This section describes the entities and concepts involved in the authorization process.
 
https://cloud.google.com/iam/docs/overview


답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다