액세스 승인 개요

액세스 승인을 사용하면 Cloud Customer Care 및 엔지니어링에서 고객 콘텐츠에 액세스해야 할 때마다 명시적인 승인을 요구하도록 보장합니다. 승인은 암호화 방식으로 확인되어 액세스 승인의 무결성을 보장합니다.

Google 직원이 콘텐츠에 대한 액세스를 직접 관리할 수 있게 하려면 액세스 승인을 사용하는 것이 좋습니다.

소개

액세스 승인은 필요한 것보다 더 많은 권한과 액세스 권한을 갖지 않도록 지정하는 최소 권한의 보안 원칙을 구현하는 데 도움이 됩니다. 액세스 권한을 제공한 후에도 Google 직원은 계약된 서비스를 제공할 의무를 이행하는 데 반드시 필요한 콘텐츠만 볼 수 있습니다. 예를 들어 일선 고객 지원 담당자는 고객 지원 문제를 디버깅하는 데 반드시 필요한 고객 환경에 대한 정보에만 액세스할 수 있습니다.

Google 직원이 고객 콘텐츠에 액세스해야 하는 이유와 Google Cloud의 액세스 권한 관리 원칙에 대한 자세한 내용은 Google Cloud에서 액세스 권한 관리를 참조하세요.

Google Cloud의 관리 액세스 제어에 대한 핵심 원칙에 대해 알아보려면 관리 액세스 제어 개요를 참조하세요.

액세스 승인은 액세스 투명성 로그에서 제공하는 투명성 외에도 제어를 한층 더 강화합니다. 액세스 투명성은 Google 직원이 콘텐츠에 액세스할 때 수행한 작업을 캡처한 로그를 제공합니다. 또한 액세스 승인에서는 승인되었거나, 무시되었거나, 만료된 모든 요청에 대한 기록 뷰도 제공합니다.

액세스 승인 작동 방식

액세스 승인은 승인하도록 선택할 수 있는 액세스 요청이 포함된 이메일 또는 Pub/Sub 메시지를 보냄으로써 작동합니다.

메시지 정보를 사용하면 Google Cloud 콘솔 또는 액세스 승인 API를 사용하여 액세스를 승인하거나 거부할 수 있습니다. 액세스 승인은 암호화 키를 사용하여 액세스 요청에 서명합니다. 이 서명은 액세스 승인의 무결성을 확인하는 데 사용됩니다. Google 관리 서명 키를 사용하거나 자체 서명 키를 사용할 수 있습니다.

기본 옵션은 Google 관리 서명 키 사용입니다. 자체 서명 키를 사용하려면 Cloud KMS를 사용하여 키를 만들거나 Cloud EKM을 사용하여 외부 관리 키를 가져오면 됩니다. 커스텀 서명 키 사용 시작에 대한 자세한 내용은 커스텀 서명 키를 사용하여 액세스 승인 설정을 참조하세요.

액세스 승인을 지원하는 Google 서비스

액세스 승인을 사용하면 액세스 승인에 등록할 Google Cloud 서비스를 선택할 수 있습니다. 액세스 승인은 선택한 서비스에 저장된 콘텐츠에 대한 액세스 요청에 대해서만 동의를 요청합니다.

액세스 승인에 서비스를 등록할 수 있는 옵션은 다음과 같습니다.

  • 지원 수준(미리보기 또는 GA)에 관계없이 지원되는 모든 서비스에 액세스 승인이 자동으로 사용 설정됩니다. 이 옵션을 선택하면 액세스 승인에서 향후 지원하는 모든 서비스도 자동으로 등록됩니다. 기본 옵션입니다.
  • GA 수준 지원 서비스에 대해서만 액세스 승인을 사용 설정합니다. 이 옵션을 선택하면 나중에 액세스 승인이 지원하는 모든 서비스를 GA 수준 지원에 자동으로 등록합니다.
  • 액세스 승인에 등록할 특정 서비스를 선택합니다.

액세스 승인이 지원하는 서비스의 전체 목록은 지원되는 서비스를 참조하세요.

액세스 승인 제외

Google에서 수행하는 다음 조치는 액세스 승인 요청을 트리거하지 않습니다.

비상 대응이 필요한 대규모 서비스 중단. 고객 데이터에 대한 액세스가 발생할 때 액세스 투명성 로그가 생성됩니다.

  • 액세스 투명성 제외에 문서화된 기타 예외. 액세스 투명성에서 제외된 이러한 사항은 액세스 승인 요청에도 적용됩니다.

액세스 승인 사용 요구사항

Google Cloud 프로젝트, 폴더 또는 조직에 액세스 승인을 사용 설정할 수 있습니다. 액세스 승인을 사용 설정하려면 먼저 리소스 계층 구조의 동일한 수준 이상에서 액세스 투명성을 사용 설정해야 합니다.

액세스 투명성을 사용 설정한 후에는 Google Cloud Console을 사용하여 액세스 승인을 사용 설정할 수 있습니다. 액세스 승인 설정 방법을 알아보려면 빠른 시작을 참조하세요.

커스텀 서명 키 요구사항

기본 Google 관리 서명 키를 사용할 때는 추가 구성이 필요하지 않습니다. 자체 서명 키를 사용하려면 Cloud Key Management Service를 사용하여 비대칭 서명 키를 만들거나 Cloud 외부 키 관리자를 사용하여 외부 관리 서명 키를 호스팅하면 됩니다. Cloud EKM에서 지원하는 비대칭 서명 키와 관련된 제한사항은 비대칭 서명 키 제한사항을 참조하세요.

외부 관리 서명 키를 사용하려면 Cloud EKM을 사용 설정하는 것이 좋습니다. Cloud EKM을 사용하여 Google Cloud에 저장되지 않은 키를 관리하는 방법에 대한 자세한 내용은 Cloud EKM 개요를 참조하세요.

다음 단계