IAM이란?
IAM은 Identity and Access Management의 약자로 "누가 어떤 리소스에 무엇을 할 수 있는지"를 관리하는 보안 정책 관리이다. 여기서 누가(who)에는 개인, 그룹, 어플리케이션이 해당될 수 있고, 무엇을 할 수 있는지(can do what)는 특정 권한이나 작업(action)에 대한 범위를 말하고, 리소스(which resource)는 GCP의 모든 서비스를 의미한다.
IAM의 구성 요소로는 Organization, Folders, Projects, Resources, Roles, Members가 있다. GCP는 계층적인 구조로 구성되며 보안 정책 또한 계층적인 구조의 흐름에 따라 위에서 아래로 상속된다는 점이 특징이다.
IAM 역할의 종류
IAM에는 'Primitive', 'Predefined', 'Custom'으로 세 가지 종류로 나눠진다.
1. Primitive
GCP 콘솔에서 사용할 수 있었던 오리지널 역할로 광범위하게 사용한다. 프로젝트에 있는 모든 리소스에 대해 무엇을 할 수 있는지 지정한다. Billing 관리자는 프로젝트의 리소스 관리 권한 없이 청구를 관리하고 관리자를 추가/제거 할 수 있다. 각 프로젝트는 각 역할들을 중복적으로 가질 수 있다.
2. Predefined
GCP는 미리 설정된 역할을 제공하며 이러한 역할들이 어디에 적용되는지도 정의해놨다. Compute Engine 리소스에 대해 무엇을 할 수 있는지 지정한다. Predefined 역할은 특정 서비스에 대해 좀 더 상세하게 구분된 권한을 제공한다.
3. Custom
많은 회사에서 '최소권한의 원칙'을 따르고 있다. 업무를 진행하는데 있어 필수적으로 필요한 권한만 부여하고 그 외의 권한이 부여되지 않도록 하는 것인데, 이를 충족시켜줄 수 있는 방식이 Custom이다. 미리 지정된 역할이 아닌 역할을 직접 정의하는 방법이므로 보안적으로 가장 좋은 방식이다.
'Cloud' 카테고리의 다른 글
| [GCP] 계정 마이그레이션 하기 (0) | 2020.03.28 |
|---|
댓글