Google Cloud IAM(Identity and Access Management)
0
https://bjpublic.tistory.com/332
4.2 Cloud IAM에서 사용하는 ID
- Google 계정(user:)
- 서비스 계정(serviceAccount:)
- G Suite 도메인(domain:)
- Google Group(group:)
4.3
4.3.1 리소스
- 프로젝트, Compute Engine 인스턴스, GCS 버킷 등
4.3.2 권한
- 리소스에 어떤 작업을 허용할지를 결정
4.3.3 역할
- 권한의 모음
4.4 IAM Policy
Cloud IAM 정책은 사용자에게 부여되는 엑세스 권한의 유형을 가지고 있는 리스트(json)
- bindings: members의 목록을 role에 연결
- role: 구성원에게 배정하려는 역할
- members: 해당 권한에 배정될 멤버 리스트
4.5 정책 계층 구조
Cloud IAM 정책은 조직, 폴더, 프로젝트, 리소스 등 리소스 계층 구조의 모든 수준에 설정할 수 있습니다. 리소스는 기본적으로 상위 리소스의 정책을 상속하기 때문에 상속된 계층은 상위 계층의 정책을 상속받게 됩니다.
4.6 Cloud IAM의 역할
4.6.1 기본역할
- roles/owner 소유자
- roles/editor 편집자
- roles/viewer 뷰어
4.6.2 사전 정의된 역할
https://cloud.google.com/iam/docs/understanding-roles?hl=ko#predefined_roles
4.6.3 커스텀 역할
(조직 수준 및 프로젝트 수준에서는 커스텀 역할을 만들 수 있지만, 폴더 수준에서는 커스텀 역할을 만들 수 없습니다)
4.7 서비스 계정
서비스 계정은 사용자가 아닌 애플리케이션 또는 가상 머신에 속한 계정으로 애플리케이션은 사용자 계정이 아닌 서비스 계정을 이용하며 GCP API에 접근하게 됩니다. 서비스 계정은 계정 고유의 이메일 주소로 식별이 됩니다.
서비스 계정의 주요 특징은 서비스 계정을 리소스이자, ID로 사용할 수 있다는 점입니다.
