커스텀 서명 키를 사용하여 액세스 요청 검토 및 승인
이 문서에서는 프로젝트에 대한 액세스 요청 이메일 알림을 수신하기 위해 Google Cloud Console 및 맞춤 서명 키를 사용하여 액세스 승인을 설정하는 방법을 보여줍니다.
액세스 승인은 Google 직원이 Google Cloud에 저장된 콘텐츠에 액세스할 수 있도록 암호화 서명 승인을 사용합니다.
액세스 승인을 사용하면 자체 암호화 키를 가져와 액세스 요청에 서명할 수 있습니다. Cloud Key Management Service를 사용하여 키를 만들거나 Cloud 외부 키 관리자를 사용하여 외부 관리 키를 가져올 수 있습니다.
시작하기 전에
- 조직에 액세스 투명성을 사용 설정합니다. 자세한 내용은 액세스 투명성 사용 설정을 참고하세요.
- 액세스 승인 구성 편집자(
roles/accessapproval.configEditor
) IAM 역할이 있는지 확인합니다.
액세스 승인에 등록
액세스 승인에 등록하려면 다음을 수행합니다.
Google Cloud 콘솔에서 액세스 승인을 사용 설정하려는 프로젝트를 선택합니다.
액세스 승인 페이지로 이동
액세스 승인에 등록하려면 등록을 클릭합니다.
대화상자가 열리면 등록을 클릭합니다.
설정 구성
Google Cloud 콘솔의 액세스 승인 페이지에서
설정 관리를 클릭합니다.
서비스 선택
기본적으로 액세스 승인이 필요한 서비스는 프로젝트의 상위 리소스에서 상속됩니다. 모든 지원되는 서비스에 대해 액세스 승인을 자동으로 사용 설정하는 옵션을 선택하여 등록 범위를 확장할 수 있습니다.
이메일 알림 설정
이 섹션에서는 이 프로젝트의 액세스 요청 알림을 받는 방법을 설명합니다.
필수 IAM 역할 부여
액세스 요청을 보고 승인하려면 액세스 승인자(roles/accessapproval.approver
) IAM 역할이 있어야 합니다.
이 IAM 역할을 직접 부여하려면 다음 안내를 따르세요.
- Google Cloud 콘솔의 IAM 페이지로 이동합니다.
- 주 구성원별로 보기 탭에서 액세스 권한 부여를 클릭합니다.
- 오른쪽 창의 새 주 구성원 필드에 이메일 주소를 입력합니다.
- 역할 선택 필드를 클릭하고 메뉴에서 액세스 승인자 역할을 선택합니다.
- 저장을 클릭합니다.
액세스 승인 요청의 승인자로 자신 추가
액세스 요청을 검토하고 승인할 수 있도록 자신을 승인자로 추가하려면 다음을 수행하세요.
Google Cloud 콘솔에서 액세스 승인 페이지로 이동합니다.
설정 관리를 클릭합니다.
승인 알림 설정에서 사용자 또는 그룹 이메일 필드에 이메일 주소를 추가합니다.
알림 설정을 저장하려면 저장을 클릭합니다.
커스텀 서명 키 사용
액세스 승인은 서명 키를 사용하여 액세스 승인의 무결성을 확인합니다.
Cloud EKM을 사용 설정한 경우 외부 관리 서명 키를 선택할 수 있습니다. 외부 키 사용에 관한 자세한 내용은 Cloud EKM 개요를 참고하세요.
원하는 알고리즘으로 Cloud KMS 서명 키를 만들 수도 있습니다. 자세한 내용은 비대칭 키 만들기를 참고하세요.
커스텀 서명 키를 사용하려면 이 섹션의 안내를 따르세요.
서비스 계정의 이메일 주소 가져오기
서비스 계정의 이메일 주소 형식은 다음과 같습니다.
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
PROJECT_NUMBER를 프로젝트 번호로 바꿉니다.
예를 들어 프로젝트 번호가 123456789
인 프로젝트의 서비스 계정에 대한 이메일 주소는 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
입니다.
서명 키를 사용하려면 다음 단계를 따르세요.
Google Cloud 콘솔의 액세스 승인 페이지에서 Cloud KMS 서명 키 사용(고급)을 선택합니다.
암호화 키 버전 리소스 ID를 추가합니다.
암호화 키 버전 리소스 ID는 다음 형식이어야 합니다.
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
자세한 내용은 Cloud KMS 리소스 ID 가져오기를 참고하세요.
설정을 저장하려면 저장을 클릭합니다.
커스텀 서명 키를 사용하려면 프로젝트의 액세스 승인 서비스 계정에 Cloud KMS CryptoKey 서명자/확인자(
roles/cloudkms.signerVerifier
) IAM 역할을 제공해야 합니다.액세스 승인 서비스 계정에 제공한 키로 서명할 권한이 없는 경우 부여를 클릭하여 필요한 권한을 부여할 수 있습니다. 권한을 부여한 후 저장을 클릭합니다.
액세스 승인 요청 검토
이제 액세스 승인에 등록하고 자신을 액세스 요청 승인자로 추가했으므로 액세스 요청에 대한 이메일 알림을 받을 수 있습니다.
다음 이미지는 Google 직원이 고객 콘텐츠에 대한 액세스를 요청할 때 액세스 승인이 전송하는 샘플 이메일 알림을 보여줍니다.
액세스 권한 요청을 검토 및 승인하려면 다음 안내를 따르세요.
Google Cloud 콘솔에서 액세스 승인 페이지로 이동합니다.
이 페이지로 이동하려면 승인 요청과 함께 전송된 이메일 내 링크를 클릭할 수도 있습니다.
승인을 클릭합니다.
요청을 승인하면 동일한 사유, 위치, 책상 위치와 같이 승인과 일치하는 특성을 가진 Google 직원이 승인된 기간 내에 지정된 리소스 및 해당 하위 리소스에 액세스할 수 있습니다.
삭제
-
액세스 승인에서 등록 해제하려면 다음 안내를 따르세요.
- Google Cloud 콘솔의 액세스 승인 페이지에서 설정 관리를 클릭합니다.
- 등록 해제를 클릭합니다.
- 대화상자가 열리면 등록 해제를 클릭합니다.
- 조직의 액세스 투명성을 사용 중지하려면 클라우드 고객 관리에 문의하세요.
계정에 비용이 청구되지 않도록 하는데 필요한 추가 단계는 없습니다.
다음 단계
- 액세스 요청 분석 알아보기
- 액세스 승인 요청 승인 방법 알아보기
- 이전 액세스 승인 요청 확인 방법 알아보기