Identity and Access Management (IAM)에서는 주 구성원에 대한 액세스를 제어합니다. 주 구성원은 Cloud de Confiance에 인증된 하나 이상의 ID를 나타냅니다.
정책에서 주 구성원 사용
정책에서 주 구성원을 사용하려면 다음을 수행합니다.
Cloud de Confiance 가 인식할 수 있는 ID를 구성합니다. ID 구성은 Cloud de Confiance 가 인식할 수 있는 ID를 만드는 프로세스입니다. 사용자 및 워크로드에 대해 ID를 구성할 수 있습니다.
ID를 구성하는 방법은 다음을 참조하세요.
사용할 주 구성원 식별자를 결정합니다. 주 구성원 식별자는 정책에서 주 구성원을 참조하기 위해 사용됩니다. 이 식별자는 단일 ID 또는 ID 그룹을 나타낼 수 있습니다.
주 구성원 식별자에 사용하는 형식은 다음에 따라 달라집니다.
- 주 구성원 유형
- 주 구성원을 포함할 정책 유형
각 정책 유형에서 각 유형의 주 구성원에 대한 주 구성원 식별자 형식을 보려면 주 구성원 식별자를 참조하세요.
식별자 형식을 확인한 후에는 주 구성원의 이메일 주소와 같은 주 구성원의 속성에 따라 주 구성원의 고유 식별자를 결정할 수 있습니다.
정책에 주 구성원의 식별자를 포함합니다. 정책 형식에 따라 정책에 주 구성원을 추가합니다.
IAM에서 다양한 정책 유형에 대해 알아보려면 정책 유형을 참조하세요.
주 구성원 유형 지원
각 IAM 정책 유형은 IAM이 지원하는 주 구성원 유형의 일부를 지원합니다. 각 정책 유형에 지원되는 주 구성원 유형을 보려면 주 구성원 식별자를 참조하세요.
주 구성원 유형
다음 표에서는 IAM에서 지원하는 다양한 주 구성원 유형을 간략하게 설명합니다. 정책에서 사용될 때 주 구성원 유형이 어떻게 표시되는지 자세한 설명과 예를 보려면 표에서 주 구성원 유형 이름을 클릭하세요.
| 주 구성원 유형 | 설명 | 단일 주 구성원 또는 주 구성원 집합 | Google 관리 또는 연합 | 정책 유형 지원 |
|---|---|---|---|---|
| 서비스 계정 | 사람이 아닌 머신 워크로드에서 사용하는 계정입니다. | 단일 주 구성원 | Google 관리 |
다음 정책 유형은 서비스 계정을 지원합니다.
|
| 서비스 계정 집합 | 프로젝트, 폴더 또는 조직의 모든 서비스 계정 | 서비스 계정이 포함된 주 구성원 집합입니다. | Google 관리 |
다음 정책 유형은 서비스 계정 집합을 지원합니다.
|
| 서비스 에이전트 집합 | 프로젝트, 폴더 또는 조직과 연결된 모든 Google 관리 서비스 계정 (서비스 에이전트)입니다. | 서비스 에이전트가 포함된 주 구성원 집합입니다. | Google 관리 |
다음 정책 유형은 서비스 에이전트 집합을 지원합니다.
다음 정책 유형은 서비스 에이전트 집합을 지원하지 않습니다.
|
allAuthenticatedUsers |
Google 계정으로 인증된 모든 서비스 계정과 인터넷 상의 모든 사용자를 나타내는 특수 식별자입니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
Google 관리 |
다음 정책 유형은 일부 리소스에 대해
다음 정책 유형은
|
allUsers |
인증된 사용자와 인증되지 않은 사용자를 포함하여 인터넷에 있는 모든 사용자를 나타내는 특수 식별자입니다. |
다음 주 구성원 유형을 포함할 수 있는 주 구성원 집합:
|
모두 |
다음 정책 유형은
|
| 직원 ID 풀의 단일 ID | 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 ID를 가진 실제 사용자입니다. | 단일 주 구성원 | 제휴 |
다음 정책 유형은 직원 ID 풀의 단일 ID를 지원합니다.
|
| 직원 ID 풀의 주 구성원 집합 | 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 ID를 가진 인간 사용자 집합입니다. | 직원 ID를 포함하는 주 구성원 집합입니다. | 제휴 |
다음 정책 유형은 직원 ID 풀의 주 구성원 집합을 지원합니다.
|
| 워크로드 아이덴티티 풀의 단일 주 구성원 | 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 ID가 있는 워크로드 (또는 머신 사용자)입니다. | 단일 주 구성원 | 제휴 |
다음 정책 유형은 워크로드 아이덴티티 풀의 단일 주 구성원을 지원합니다.
|
| 워크로드 아이덴티티 풀의 주 구성원 집합 | 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 ID가 있는 워크로드 (또는 머신 사용자) 집합입니다. | 워크로드 아이덴티티를 포함하는 주 구성원 집합 | 제휴 |
다음 정책 유형은 워크로드 아이덴티티 풀의 주 구성원 집합을 지원합니다.
|
| Google Kubernetes Engine 포드 집합 | GKE에서 실행되고 GKE를 통해 제휴된 워크로드 (또는 머신 사용자)입니다. | 하나 이상의 제휴 워크로드 ID를 포함할 수 있는 주 구성원 집합 | 제휴 |
다음 정책 유형은 GKE 포드를 지원합니다.
다음 정책 유형은 GKE 포드를 지원하지 않습니다.
|
다음 섹션에서는 이러한 주 구성원 유형에 대해 자세히 설명합니다.
서비스 계정
서비스 계정은 개별 최종 사용자가 아닌 애플리케이션 또는 컴퓨팅 워크로드에 대한 계정입니다. 서비스 계정은 사용자 관리 서비스 계정과 Google 관리 서비스 계정(서비스 에이전트라고 함)으로 나눌 수 있습니다.
Cloud de Confiance에서 호스팅되는 코드를 실행할 때는 애플리케이션의 ID로 사용할 서비스 계정을 지정합니다. 애플리케이션의 다양한 논리적 구성요소를 나타내는 데 필요한 만큼 사용자 관리 서비스 계정을 생성할 수 있습니다.
일부 Cloud de Confiance 서비스는 사용자를 대신하여 작업을 실행할 수 있도록 리소스에 대한 액세스 권한이 필요합니다. Google은 이러한 요구사항을 충족하기 위해 서비스 에이전트를 만들고 관리합니다.
다음과 같은 방법으로 서비스 계정 및 서비스 에이전트를 참조할 수 있습니다.
- 단일 서비스 계정
- 프로젝트의 모든 서비스 계정
- 프로젝트와 연결된 모든 서비스 에이전트
- 폴더의 모든 프로젝트에 있는 모든 서비스 계정
- 폴더 및 그 하위 항목과 연결된 모든 서비스 에이전트
- 조직의 모든 프로젝트에 있는 모든 서비스 계정
- 조직 및 그 하위 항목과 연결된 모든 서비스 에이전트
다음 예에서는 다양한 유형의 정책에서 개별 서비스 계정을 식별하는 방법을 보여줍니다.
- 허용 정책의 서비스 계정:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - 거부 정책의 서비스 계정:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
다음 예에서는 다양한 유형의 정책에서 프로젝트, 폴더 또는 조직의 모든 서비스 계정을 식별하는 방법을 보여줍니다.
- 허용 정책의 프로젝트에 대한 모든 서비스 계정:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - 거부 정책의 폴더와 연결된 모든 서비스 에이전트:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
서비스 계정에 대한 자세한 내용은 다음 페이지를 참고하세요.
allAuthenticatedUsers
allAuthenticatedUsers 값은 모든 서비스 계정을 나타내는 특수 식별자입니다.
외부 ID 공급업체(IdP)에서 관리하는 제휴 ID는 이 주 구성원 유형에 포함되지 않습니다. 제휴 ID를 포함하려면 다음 옵션 중 하나를 사용하세요.
- 모든 IdP의 사용자를 포함하려면
allUsers를 사용합니다. - 특정 외부 IdP의 사용자를 포함하려면 직원 ID 풀의 모든 ID 또는 워크로드 아이덴티티 풀의 모든 ID에 대한 식별자를 사용합니다.
일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.
allUsers
allUsers 값은 인증 사용자와 미인증 사용자를 포함하여 인터넷 상의 모든 사용자를 나타내는 특수 식별자입니다.
일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.
다음 예시에서는 다양한 유형의 정책에서 allUsers 식별자가 어떻게 표시되는지 보여줍니다.
- 지원되는 리소스 유형의 허용 정책:
allUsers - 거부 정책:
principalSet://goog/public:all
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
직원 ID 풀의 제휴 ID
직원 ID 풀은 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 사용자 ID 집합입니다. 다음과 같은 방법으로 이러한 풀에서 주 구성원을 참조할 수 있습니다.
- 직원 ID 풀의 단일 ID
- 지정된 그룹의 모든 직원 ID
- 특정 속성값의 모든 직원 ID
- 직원 ID 풀의 모든 ID
다음 예에서는 다양한 유형의 정책에서 제휴 직원 ID 풀을 식별하는 방법을 보여줍니다.
- 허용 정책의 단일 ID:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - 거부 정책의 ID 그룹:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
워크로드 아이덴티티 풀의 제휴 ID
워크로드 아이덴티티 풀은 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 워크로드 ID 집합입니다. 다음과 같은 방법으로 이러한 풀에서 주 구성원을 참조할 수 있습니다.
- 워크로드 아이덴티티 풀의 단일 ID
- 지정된 그룹의 모든 워크로드 ID
- 특정 속성값의 모든 워크로드 ID
- 워크로드 아이덴티티 풀의 모든 ID
다음 예에서는 다양한 유형의 정책에서 제휴 워크로드 아이덴티티 풀을 식별하는 방법을 보여줍니다.
- 허용 정책의 단일 ID:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - 거부 정책의 ID 그룹:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
GKE 포드
GKE에서 실행되는 워크로드는 GKE용 워크로드 아이덴티티 제휴를 사용하여 Cloud de Confiance 서비스에 액세스합니다. GKE 포드의 주 구성원 식별자에 대한 자세한 내용은 IAM 정책에서 Kubernetes 리소스 참조를 참조하세요.
다음 예시에서는 허용 정책에서 특정 클러스터의 모든 GKE 포드를 식별하는 방법을 보여줍니다.
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
주 구성원 식별자 형식에 대해 자세히 알아보려면 주 구성원 식별자를 참고하세요.
다음 단계
- IAM이 지원하는 정책 유형 알아보기
- Resource Manager 프로젝트, 폴더, 조직에 대해 주 구성원에 역할 부여