duri

구글 클라우드 서비스에서 IAM

구글 클라우드 IAM(Identiti and Access Management)

IAM이란

  • 누가
  • 어떤 구글 클라우드 리소스에대해
  • 어떤 방식으로 접근권한을 갖는지 중앙에서 관리하고 제어하는 서비스이다.

IAM을 통해 조직은 클라우드 환경의 보안을 강화하고 규정을 준수하며, 효율적인 리소스 관리를 할 수 있다.

VPC Service Controls 의 경계

구글 클라우드 리소스 주변에 보안 경계를 설정하여 데이터 유출 위험을 줄이는 서비스.

  • 경계의 목적 : 승인되지 않은 네트워크 또는 id로부터 리소스를 보호하고, 데이터가 경계를 벗어나는 것을 방지한다.
  • 액세스 수준 : 경계에 액세스 수준을 추가해 특정 조건을 만족하는 주체에게만 리소스 접근을 허용한다.

액세스 logging

audit logging과 cloud logging으로 확인할 수 있다. 두 로깅은 서로 보완적인 역할을 하는데, audit logging은 주로 보안 규정 준수를 위해 사용되고, cloud logging은 애플리케이션 디버깅, 성능 분석 등을 위해 사용된다.

audit logging(감사 로깅)

  • 목적 : 누가, 언제, 어디서, 무엇을 했는지에 대한 상세한 기록을 제공하여 보안 분석, 규정 준수, 문제 해결 등에 활용한다.
  • 종류:
    • 관리 활동 감사 로그 : 리소스의 생성, 수정, 삭제 등 관리 작업에 대한 로그. 기본적으로 활성화 되어 있다.
    • 데이터 액세스 감사 로그 : 사용자 또는 서비스 꼐정이 리소스의 데이터를 읽거나 수정하는 등의 데이터 액세스 작업에 대한 로그. 활성화를 위해 명시적인 구성이 필요하다.

Cloud logging (이전 stackdriver logging)

  • 목적 : 구글 클라우드 서비스 뿐 아니라 사용자 정의 애플리케이션, 온프레미스 환경 등 다양한 소스에서 발생하는 모든 로그 데이터를 중앙 집중 식으로 수집, 저장, 분석 및 모니터링한다.
  • 특징: 실시간 로그, 강력한 쿼리, 알림 설정, 다른 구글 클라우드 서비스로 내보내기 등의 기능을 지원한다.

서비스 계정

서비스 계정은 사람 사용자가 아닌 애플리케이션 이나 가상머신 인스턴스 등이 구글 클라우드 리소스에 안전하게 접근할 수 있도록 인증하는데 사용되는 특별한 유형의 계정이다.

  • 자동화된 사용자 : 서비스 계정은 사람의 직접적인 상호작용 없이 프로그램 및 서비스와 상호작용할 수 있도록 설계되었다.
  • IAM 권한 관리 : 서비스 계정에도 IAM 권한을 부여하여 특정 리소스에 대한 접근 권한을 제어할 수 있다.

예시)

1) VM에서 스토리지에 파일 업로드: VM 인스턴스에 특정 서비스 계정을 연결하고, 해당 서비스 계정에 Cloud Storage에 파일을 업로드할 수 있는 권한을 부여하면, VM 내의 애플리케이션이 사용자 개입 없이 자동으로 파일을 업로드할 수 있다. 2) Cloud Functions에서 BigQuery에 데이터 쓰기: Cloud Functions에 특정 서비스 계정을 연결하고, 해당 서비스 계정에 BigQuery에 데이터를 쓸 수 있는 권한을 부여하면, Cloud Functions가 트리거될 때마다 자동으로 BigQuery에 데이터를 저장할 수 있다.

IAM 권한 관련 내용

  • 역할(Role): 특정 권한의 집합입. Google Cloud는 미리 정의된 역할(Predefined Roles)과 사용자 정의 역할(Custom Roles)을 제공한다.
    • 사전 정의된 역할: 일반적인 사용 사례에 맞춰 Google Cloud에서 미리 정의한 역할이다.
    • 사용자 정의 역할: 조직의 특정 요구 사항에 맞게 사용자가 직접 정의하는 역할이다. 세밀한 권한 관리가 필요한 경우 유용하다.
  • 구성원(Member): 권한을 부여받는 주체. Google 계정, 서비스 계정, Google 그룹, Cloud Identity 또는 Google Workspace 도메인 등이 될 수 있다.
  • 리소스(Resource): 권한이 적용되는 Google Cloud 자원이다. 프로젝트, 폴더, 조직, 또는 특정 서비스(예: Cloud Storage 버킷, Compute Engine 인스턴스) 등이 될 수 있다.

Leave a comment

You may also enjoy