이 페이지의 일부 또는 모든 정보는 S3NS의 Cloud de Confiance에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

승인 및 액세스 제어

Identity and Access Management (IAM)는 Cloud de Confiance by S3NS 환경에서 누가 어떤 작업을 할 수 있는지 제어할 수 있는 도구입니다.

액세스는 IAM 권한으로 제어되며, 이 권한은 Cloud de Confiance 환경에서 리소스를 사용하는 데 필요합니다. 리소스 작업을 위한 권한이 부여되면 해당 리소스에 액세스할 수 있는 권한이 부여됩니다. 적절한 승인이 없으면 Cloud de Confiance 리소스에 액세스할 수 없습니다.

권한 및 역할

리소스를 사용하려면 사용자 계정에 해당 리소스에 액세스할 수 있는 관련 권한이 있어야 합니다.

일반적으로 리소스에 대한 액세스 제어는 IAM 관리자가 담당합니다. 관리자는 프로젝트, 폴더 또는 조직의 단일 리소스 또는 모든 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 관리자는 역할이라는 번들에서 사용자 계정에 관련 권한을 부여합니다. 사용자 계정에 적절한 권한이 있는 역할이 있으면 해당 역할을 사용하여 Cloud de Confiance 리소스에 액세스할 수 있습니다.

일반적으로Cloud de Confiance 환경의 리소스에 작업을 실행하는 워크플로는 다음과 같습니다.

리소스에 대해 작업을 실행하려고 하지만(예: Cloud Storage 버킷에 객체 업로드) 적절한 권한이 없습니다. 권한이 없으면 작업을 수행할 수 없습니다.
원하는 요청 관리 시스템을 통해 또는 Cloud de Confiance 콘솔의 권한 오류 메시지에서 직접 IAM 관리자에게 필요한 권한을 요청할 수 있습니다.
IAM 관리자가 적절한 권한이 포함된 역할을 사용자 계정에 부여합니다. 이제 작업을 실행할 수 있습니다.

관리자로서 IAM 사용

관리자는 일반적으로 사용자가 Cloud de Confiance 리소스에 액세스할 수 있도록 사용자에게 역할을 부여합니다. 사용자는 인증된 ID(주 구성원이라고 함)로 표시됩니다.

리소스에 대한 주 구성원에게 역할을 부여하려면 리소스에 연결된 허용 정책을 수정해야 합니다. 허용 정책은 리소스에 액세스할 수 있는 주 구성원과 리소스에서 수행할 수 있는 작업을 나열합니다. IAM은 허용 정책을 사용하여 주 구성원에게 리소스에 액세스하는 데 필요한 권한이 있는지 확인합니다. 따라서 특정 리소스에 대한 액세스 권한을 주 구성원에게 부여하려면 주 구성원과 부여할 역할로 리소스의 허용 정책을 업데이트해야 합니다.

관리자는 다음 유형의 리소스에 대해 주 구성원에게 역할을 부여할 수 있습니다.

프로젝트, 폴더, 조직: 이러한 리소스는 리소스 계층 구조를 구성하는 데 사용되는 컨테이너 리소스입니다. 이러한 컨테이너 리소스에 부여하는 역할은 포함된 모든 서비스별 리소스에 적용됩니다.
서비스별 리소스: 서비스에서 제공하는 기능 또는 구성요소입니다. 예를 들어 Compute Engine에는 인스턴스, 디스크, 서브네트워크와 같은 리소스가 있습니다. 서비스별 리소스에 역할을 부여하면 컨테이너 리소스에 역할을 부여하는 것보다 세부적인 액세스 제어가 가능합니다. 사용자의 액세스가 해당 리소스로만 제한되기 때문입니다.

IAM을 사용한 고급 액세스 제어

허용 정책은 IAM으로Cloud de Confiance 환경에 대한 액세스를 제어하는 가장 일반적인 방법입니다. 하지만 IAM은 다음과 같은 액세스 제어를 위한 다른 고급 옵션도 제공합니다.

거부 정책
조건부 속성 기반 액세스 제어

기타 액세스 제어 형식

IAM은Cloud de Confiance의 기본 액세스 제어 방법이지만 사용자의 리소스 액세스에 영향을 줄 수 있는 다른 Cloud de Confiance 서비스도 있습니다.

다음은 사용자의 액세스에 영향을 줄 수 있는 다른 서비스의 몇 가지 예입니다.

Access Context Manager: Access Context Manager를 사용하면 Cloud de Confiance의 프로젝트 및 리소스에 대해 세분화된 속성 기반 액세스 제어를 정의할 수 있습니다.
조직 정책 서비스: 조직 정책을 사용하면 리소스 계층 구조 전반에 걸쳐 제약 조건을 구성하여 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다.

다음 단계

IAM 시스템 및 작동 방식에 대한 자세한 내용은 IAM 문서의 IAM 개요 페이지를 참고하세요.