GCP IAM은 전반적으로 AWS와 유사한 컨셉을 갖고 있다.
GCP IAM의 정책 상속은 상→하 수준으로 내려갑니다. 즉, 리소스는 프로젝트에서 정책을 상속하고, 프로젝트는 폴더에서 정책을 상속하며, 폴더는 조직에서 정책을 상속합니다.
Cloud IAM 정책 계층 구조는 GCP 리소스 계층 구조와 동일한 경로를 따릅니다. 리소스 계층 구조를 변경하면 정책 계층 구조도 변경됩니다. 예를들어, 프로젝트를 조직으로 옮기면 프로젝트의 Cloud IAM 정책이 해당 조직의 Cloud IAM 정책을 상속하도록 업데이트 됩니다. 하위 정책은 상위 수준에서 허용된 엑세스 권한을 제한할 수 없습니다.
기본역할
소유자, 편집자, 뷰어로 소유자 역할에는 편집자 역할의 권한이 포함되며, 편집자 역할에는 뷰어 권한이 포함됩니다.
| 역할이름 | 역할칭호 | 권한 |
| roles / owner | 소유자 | - 프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리 - 프로젝트에 대한 결제 설정 |
| roles / editor | 편집자 | - 뷰어 권한에 리소스 변경과 같이 상태 변경 작업까지 포함이 됩니다 |
| roles / viewer | 뷰어 | - 일기 전용 작업에 대한 권한이 부여됩니다. - 기존 리소스 또는 데이터의 조회가 여기에 해당됩니다. |
사전 정의된 역할
기본 역할보다 더욱 세부적인 엑세스 제어를 부여하는 역할도, 구글에서 만들고 유지 및 관리를 합니다. 예를들어 앱 엔진 관리자, BigQuery 사용자 등이 해당되며, 해당 역할의 권한은 GCP에 새로운 기능이나 서비스가 추가될 때와 같이 필요한 경우 자동으로 업데이트 됩니다.
※ 사전정의된 역할 : https://cloud.google.com/iam/docs/understanding-roles#predefined
IAM basic and predefined roles reference | IAM Documentation | Google Cloud
A reference list of all basic and predefined IAM roles.
cloud.google.com
서비스 계정
서비스 계정은 사용자가 아닌 애플리케이션 또는 가상 머신에 속한 계정으로 애플리케이션은 사용자 계정이 아닌 서비스 계정을 이용하여 GCP API에 접근하게 됩니다. 서비스 계정은 계정 고유의 이메일 주소로 식별이 됩니다.
서비스 계정의 주요 특징은 서비스 계정을 리소스이자, ID로 사용할 수 있다는 점입니다.
ID로 사용 : 서비스 계정에 역할을 부여하여 프로젝트와 같은 리소스에 엑세스 되게 할 수 있습니다.
리소스로 사용 : 사용자에게 해당 서비스 계정에 액세스할 권한을 부여할 수 있습니다.
서비스 계정 키
각 서비스의 계정은 서비스 계정 키 쌍과 연결이 되며, 이러한 서비스 계정 키에는 크게 2가지 유형이 있습니다.
- GCP 관리 : GCP에서 서비스 간 인증에 사용됩니다. 각 키의 순환 주기는 약 일주일 정도 입니다.
- 사용자 관리 : 새로운 키를 만들면 비공개 키를 다운로드 하게 됩니다. 서비스 계정단 최대 10개의 서비스 계정 키를 만들수 있으며, 10년이 지나면 자동으로 만료됩니다.
'IaaS > 퍼블릭클라우드' 카테고리의 다른 글
| (GCP) Cloud SQL 이란? (1) | 2023.12.06 |
|---|---|
| (GCP) 공유 VPC란 (1) | 2023.12.06 |
| (GCP-GKE) LoadBalancer 로 GKE 서비스 외부로 노출하기 (0) | 2023.11.28 |
| (GCP-GKE) VPC 기반 Private k8s 클러스터 만들기 (0) | 2023.11.27 |
| GCP VPC 구축하기 (Public/Private Subnet 구축하기) (0) | 2023.11.24 |