ID 및 액세스 관리(일반적으로 IAM이라고도 함)는 특정 이유에 따라 특정 리소스에 대한 액세스 권한을 특정 개별 사용자에게 부여하는 작업 방식입니다. 이 시리즈에서는 IAM의 일반적인 관행에 대해 살펴보고, 다음과 같이 여기에 적용되는 개별 사용자가 누구인지 알아봅니다.
- 기업 ID: 조직 직원용으로 관리하는 ID입니다. 이러한 ID는 워크스테이션에 로그인하거나, 이메일에 액세스하거나, 기업 애플리케이션을 이용하는 데 사용됩니다. 기업 ID에는 기업 리소스에 액세스가 필요한 계약업체 또는 파트너와 같이 직원이 아닌 사람이 포함될 수도 있습니다.
- 고객 ID: 웹사이트 또는 고객 대면 애플리케이션과 상호작용할 수 있도록 사용자에 대해 관리하는 ID입니다.
- 서비스 ID: 애플리케이션이 다른 애플리케이션 또는 기본 플랫폼과 상호작용할 수 있도록 관리하는 ID입니다.
다음 리소스에 대해 액세스 권한을 부여해야 할 수 있습니다.
- Google Cloud, Google 애널리틱스, Google Workspace와 같은 Google 서비스
- 프로젝트, Cloud Storage 버킷, 가상 머신(VM)과 같은 Google Cloud의 리소스
- 커스텀 애플리케이션 또는 이러한 애플리케이션에서 관리되는 리소스
이 시리즈의 가이드는 IAM에 대하여 다음 부분들로 나눠서 설명합니다.
- 기업 ID, 고객 ID, 서비스 ID 관리는 IAM의 기초입니다. 주제는 4번, 5번, 6번 상자(녹색)입니다.
- 2번 및 3번 상자(파란색)는 ID 관리를 기초로 하는 액세스 관리 주제를 나타냅니다. 주제에는 Google 서비스, Google Cloud 리소스, 커스텀 워크로드 및 애플리케이션에 대한 액세스 관리가 포함됩니다.
- 1번 상자(노란색)는 가이드 범위를 벗어나는 액세스 관리 주제를 나타냅니다. Google Workspace, Google Marketing Platform, 기타 서비스의 액세스 관리에 대해 알아보려면 개별 제품 문서를 참조하세요.
ID 관리
ID 관리는 다음 프로세스에 집중됩니다.
- ID, 사용자, 그룹에 대한 프로비저닝, 관리, 마이그레이션, 프로비저닝 해제
- Google 서비스 및 커스텀 워크로드에 대한 보안 인증 사용 설정
프로세스 및 기술은 관리 대상이 기업 ID, 애플리케이션 ID, 고객 ID인지에 따라 달라집니다.
기업 ID 관리
기업 ID는 조직의 직원을 위해 관리하는 ID입니다. 직원은 이러한 ID를 사용해서 워크스테이션에 로그인하거나, 이메일에 액세스하거나, 기업 애플리케이션을 사용합니다.
기업 ID를 관리할 때 일반적인 요구사항은 다음과 같습니다.
- 단일 위치에서 조직 내 ID 관리 수행
- 직원이 하이브리드 컴퓨팅 환경의 여러 애플리케이션에서 단일 ID 및 싱글 사인온(SSO)을 사용하도록 지원
- 모든 직원들에 대해 다단계 인증 또는 비밀번호 복잡성과 같은 정책 적용
- 비즈니스에 적용될 수 있는 규정 준수 조건 충족
Google Workspace 및 Cloud ID는 이러한 요구사항을 해결하고 중앙에서 ID 및 정책을 관리할 수 있게 하는 Google 제품입니다.
하이브리드 또는 멀티 클라우드 환경에서 Google 서비스를 사용하는 경우 이러한 요구사항을 해결하기 위해서는 Google IAM 기능을 외부 ID 관리 솔루션 또는 ID 공급업체(예: Active Directory)와 통합해야 할 수 있습니다. 참조 아키텍처 문서에서는 Google Workspace 또는 Cloud ID를 통해 이러한 통합을 실현하는 방법을 설명합니다.
일부 직원은 회사 리소스에 액세스하기 위해 Gmail 계정 또는 다른 소비자 사용자 계정을 사용할 수 있습니다. 이러한 유형의 사용자 계정을 사용하면 개별 요구사항 또는 정책을 준수하지 못할 수 있지만, 이러한 사용자를 Google Workspace 또는 Cloud ID로 마이그레이션할 수 있습니다. 자세한 내용은 기존 사용자 계정 평가 및 온보딩 계획 평가를 참조하세요.
Google Workspace 또는 Cloud ID 채택과 관련하여 요구사항 평가 방법과 채택 프로세스 접근 방법에 대한 안내를 보려면 평가 및 계획 가이드를 참조하세요.
애플리케이션 ID 관리
애플리케이션 ID는 애플리케이션이 다른 애플리케이션 또는 기본 플랫폼과 상호작용할 수 있도록 관리하는 ID입니다.
애플리케이션 ID를 관리할 때 일반적인 요구사항은 다음과 같습니다.
- 제3자 API 및 인증 솔루션과 통합
- 하이브리드 또는 멀티 클라우드 시나리오에서 환경 간 인증 사용 설정
- 사용자 인증 정보 유출 방지
Google Cloud에서는 Google Cloud 서비스 계정 및 Kubernetes 서비스 계정을 사용하여 애플리케이션 ID를 관리하고 이러한 요구사항을 해결할 수 있습니다. 서비스 계정 및 서비스 계정 사용 권장사항에 대한 자세한 내용은 서비스 계정 이해를 참조하세요.
고객 ID 관리
고객 ID는 사용자가 웹사이트 또는 고객 대면 애플리케이션과 상호작용할 수 있도록 관리하는 ID입니다. 고객 ID 및 해당 액세스 관리를 고객 ID 및 액세스 관리(CIAM)라고도 합니다.
고객 ID를 관리할 때 일반적인 요구사항은 다음과 같습니다.
- 고객이 새 계정을 등록하도록 허용하지만 봇 계정 생성 감지 및 차단을 포함한 오용 방지
- 소셜 로그인 지원 및 서드 파티 ID 공급업체와 통합
- 다단계 인증 지원 및 비밀번호 복잡성 요구사항 적용
Google의 Identity Platform을 사용하여 고객 ID를 관리하고 이러한 요구사항을 해결할 수 있습니다. Identity Platform을 커스텀 애플리케이션과 통합하는 방법 및 특성 세트에 대한 자세한 내용은 Identity Platform 문서를 참조하세요.
액세스 관리
액세스 관리는 다음 프로세스에 집중됩니다.
- ID의 특정 리소스 액세스 권한 부여 또는 취소
- 역할 및 권한 관리
- 신뢰할 수 있는 개별 사용자에게 관리 기능 위임
- 액세스 제어 적용
- ID로 수행되는 액세스 감사
Google 서비스 액세스 관리
조직은 Google 서비스를 조합하여 사용할 수 있습니다. 예를 들어 공동작업을 위해서는 Google Workspace를 사용하고, 커스텀 워크로드 배포를 위해서는 Google Cloud, 광고 성공 측정항목을 측정하기 위해서는 Google 애널리틱스를 사용할 수 있습니다.
Google Workspace 또는 Cloud ID를 사용하면 특정 Google 서비스를 사용할 수 있는 특정 기업 ID를 중앙에서 관리할 수 있습니다. 특정 서비스에 대한 액세스를 제한함으로써 기본 수준의 액세스 제어를 설정합니다. 그런 후 개별 서비스의 액세스 관리 기능을 사용해서 세부적인 액세스 제어를 구성할 수 있습니다.
자세한 내용은 Google Workspace 및 Google 서비스에 액세스할 수 있는 사용자 제어 방법을 참조하세요.
Google Cloud 액세스 관리
Google Cloud에서 IAM을 사용하여 특정 리소스에 대한 세부적인 액세스 권한을 기업 ID에 부여할 수 있습니다. IAM을 사용하면 최소 권한의 보안 원칙을 구현하여 지정한 리소스만 액세스할 수 있도록 ID에 권한을 부여할 수 있습니다.
자세한 내용은 IAM 문서를 참조하세요.
워크로드 및 애플리케이션에 대한 액세스 관리
커스텀 워크로드 및 애플리케이션은 의도한 대상에 따라 달라질 수 있습니다.
- 내부 비즈니스 계열 애플리케이션, 대시보드, 콘텐츠 관리 시스템과 같은 일부 워크로드는 기업 사용자에게 적합할 수 있습니다.
- 웹사이트, 고객 셀프서비스 포털, 모바일 애플리케이션을 위한 백엔드와 같은 다른 애플리케이션은 고객에게 적합할 수 있습니다.
액세스를 관리하고, 액세스 제어를 적용하고, 액세스를 감사하는 올바른 방법은 대상 및 애플리케이션을 배포하는 방법에 따라 다릅니다.
기업 사용자에게 적합한 애플리케이션 및 기타 워크로드를 보호하는 방법에 대해 자세히 알아보려면 IAP 문서를 참조하세요.
또한 Google 계정으로 로그인을 직접 통합하거나 OAuth 2.0 또는 OpenID Connect와 같은 표준 프로토콜을 사용합니다.
API 액세스를 적용하는 방법은 Istio 및 Cloud Endpoints 문서를 참조하세요. 애플리케이션이 기업 사용자 또는 최종 사용자에게 적합한지 여부와 관계없이 두 제품 모두 사용할 수 있습니다.
다음 단계
- 개념 섹션을 참조하여 ID 관리의 개념과 기능을 이해합니다.
- 권장사항 섹션을 참조하여 아키텍처 또는 설계에서 고려할 처방적 가이드에 대해 자세히 알아봅니다.
- 평가 및 계획 섹션을 참조하여 요구사항을 평가하고 적절한 설계를 파악하는 방법을 알아봅니다.