이 페이지에서는 조직의 조직 수준 액세스 정책과 조직의 폴더와 프로젝트에 대한 범위가 지정된 정책을 만드는 방법을 설명합니다.
시작하기 전에
- Access Context Manager를 사용할 수 있는 올바른 권한이 있는지 확인합니다.
조직 수준 액세스 정책 만들기
조직의 경우 조직에 조직 수준 액세스 정책이 있으면 조직 수준 액세스 정책을 만들 수 없습니다.
콘솔
액세스 수준을 만들면 기본 액세스 정책이 자동으로 생성됩니다. 추가적인 수동 작업이 필요하지 않습니다.
gcloud
조직 수준 액세스 정책을 만들려면 create
명령어를 사용합니다.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
각 항목의 의미는 다음과 같습니다.
ORGANIZATION_ID는 조직의 숫자 ID입니다.
POLICY_TITLE은 사람이 읽을 수 있는 정책 제목입니다.
다음과 비슷한 출력이 표시되어야 합니다. 여기서 POLICY_NAME은 Google Cloud에서 할당한 정책의 고유한 숫자 식별자입니다.
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
그런 다음 기본 정책을 설정합니다.
API
조직 수준 액세스 정책을 만들려면 다음 안내를 따르세요.
요청 본문을 만듭니다.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
각 항목의 의미는 다음과 같습니다.
ORGANIZATION_ID는 조직의 숫자 ID입니다.
POLICY_TITLE은 사람이 읽을 수 있는 정책 제목입니다.
accessPolicies.create
를 호출하여 액세스 정책을 만듭니다.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
응답 본문
호출이 성공하면 호출의 응답 본문에 POST
작업에 대한 세부정보를 제공하는 Operation
리소스가 포함됩니다.
범위가 지정된 액세스 정책 만들기 및 정책 위임
VPC 서비스 제어에서만 범위가 지정된 액세스 정책을 만들 수 있습니다. IAP(Identity-Aware Proxy)와 같은 Google Cloud 서비스에 대한 조직 수준 정책을 계속 사용해야 합니다.
콘솔
Google Cloud 콘솔 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.
메시지가 표시되면 조직, 폴더 또는 프로젝트를 선택합니다.
VPC 서비스 제어 페이지에서 범위가 지정된 정책의 상위 요소인 액세스 정책을 선택합니다. 예를 들어
default policy
조직 정책을 선택할 수 있습니다.정책 관리를 클릭합니다.
VPC 서비스 제어 관리 페이지에서 만들기를 클릭합니다.
액세스 정책 만들기 페이지의 액세스 정책 이름 상자에 범위가 지정된 액세스 정책의 이름을 입력합니다.
범위가 지정된 액세스 정책 이름의 최대 길이는 50자(영문 기준)이고 문자로 시작해야 하며 ASCII 라틴 문자(a~z, A~Z), 숫자(0~9) 또는 밑줄(
_
)만 이름에 사용할 수 있습니다. 범위가 지정된 액세스 정책 이름은 대소문자를 구분하며 조직의 액세스 정책 내에서 고유해야 합니다.액세스 정책 범위를 지정하려면 범위를 클릭합니다.
프로젝트나 폴더를 액세스 정책 범위로 지정합니다.
액세스 정책 범위에 추가할 프로젝트를 선택하려면 다음을 수행합니다.
범위 창에서 프로젝트 추가를 클릭합니다.
프로젝트 추가 대화상자에서 프로젝트 체크박스를 선택합니다.
완료를 클릭합니다. 추가된 프로젝트가 범위 섹션에 표시됩니다.
액세스 정책 범위에 추가할 폴더를 선택하려면 다음을 수행합니다.
범위 창에서 폴더 추가를 클릭합니다.
폴더 추가 대화상자에서 폴더 체크박스를 선택합니다.
완료를 클릭합니다. 추가된 폴더가 범위 섹션에 표시됩니다.
범위가 지정된 액세스 정책 관리를 위임하려면 주 구성원을 클릭합니다.
액세스 정책에 바인딩할 주 구성원과 역할을 지정하려면 다음을 수행합니다.
주 구성원 창에서 주 구성원 추가를 클릭합니다.
주 구성원 추가 대화상자에서 사용자 이름 또는 서비스 계정과 같은 주 구성원을 선택합니다.
편집자 및 읽기 역할과 같은 주 구성원에 연결할 역할을 선택합니다.
저장을 클릭합니다. 추가된 주 구성원과 역할이 주 구성원 섹션에 표시됩니다.
액세스 정책 만들기 페이지에서 액세스 정책 만들기를 클릭합니다.
gcloud
범위가 지정된 액세스 정책을 만들려면 gcloud access-context-manager policies create
명령어를 사용합니다.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
각 항목의 의미는 다음과 같습니다.
ORGANIZATION_ID는 조직의 숫자 ID입니다.
POLICY_TITLE은 사람이 읽을 수 있는 정책 제목입니다. 정책 제목의 최대 길이는 50자(영문 기준)이고 문자로 시작해야 하며 ASCII 라틴 문자(a~z, A~Z), 숫자(0~9), 밑줄(
_
)만 이름에 사용할 수 있습니다. 정책 제목은 대소문자를 구분하며 조직의 액세스 정책 내에서 고유해야 합니다.SCOPE는 이 정책이 적용되는 폴더나 프로젝트입니다. 폴더 또는 프로젝트 하나만 범위로 지정할 수 있으며 범위는 지정된 조직 내에 있어야 합니다. 범위를 지정하지 않으면 정책이 전체 조직에 적용됩니다.
다음 출력이 표시됩니다. 여기서 POLICY_NAME은 Google Cloud에서 할당한 정책의 고유한 숫자 식별자입니다.
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
범위가 지정된 액세스 정책에서 주 구성원과 역할을 바인딩하여 관리를 위임하려면 add-iam-policy-binding
명령어를 사용합니다.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
각 항목의 의미는 다음과 같습니다.
POLICY는 정책의 ID 또는 정규화된 식별자입니다.
PRINCIPAL은 binding이 추가되는 주 구성원입니다.
user|group|serviceAccount:email
또는domain:domain
형식으로 지정합니다.ROLE은 주 구성원에 할당되는 역할 이름입니다. 역할 이름은 사전 정의된 역할(예:
roles/accesscontextmanager.policyReader
) 또는 커스텀 역할의 역할 ID(예:organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader
)의 전체 경로입니다.
API
범위가 지정된 액세스 정책을 만들려면 다음 안내를 따르세요.
요청 본문을 만듭니다.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
각 항목의 의미는 다음과 같습니다.
ORGANIZATION_ID는 조직의 숫자 ID입니다.
SCOPE는 이 정책이 적용되는 폴더나 프로젝트입니다.
POLICY_TITLE은 사람이 읽을 수 있는 정책 제목입니다. 정책 제목의 최대 길이는 50자(영문 기준)이고 문자로 시작해야 하며 ASCII 라틴 문자(a~z, A~Z), 숫자(0~9), 밑줄(
_
)만 이름에 사용할 수 있습니다. 정책 제목은 대소문자를 구분하며 조직의 액세스 정책 내에서 고유해야 합니다.
accessPolicies.create
를 호출하여 액세스 정책을 만듭니다.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
응답 본문
호출이 성공하면 호출의 응답 본문에 POST
작업에 대한 세부정보를 제공하는 Operation
리소스가 포함됩니다.
범위가 지정된 액세스 정책 관리를 위임하려면 다음을 수행합니다.
요청 본문을 만듭니다.
{ "policy": "IAM_POLICY", }
각 항목의 의미는 다음과 같습니다.
- IAM_POLICY는 binding 컬렉션입니다. binding은 구성원 또는 주 구성원 하나 이상을 단일 역할에 바인딩합니다. 주 구성원은 사용자 계정, 서비스 계정, Google 그룹, 도메인일 수 있습니다. 역할이란 이름이 지정된 권한 목록입니다. 각 역할은 IAM 사전 정의된 역할이나 사용자가 만든 커스텀 역할일 수 있습니다.
accessPolicies.setIamPolicy
를 호출하여 액세스 정책을 만듭니다.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
응답 본문
성공하면 응답 본문에 policy
인스턴스가 포함됩니다.