이 페이지에서는 사용자 그룹에 인증서 기반 액세스(CBA)를 적용하는 방법을 설명합니다.
액세스를 제한할 사용자 그룹에 CBA 액세스 수준을 바인딩하여 Google Cloud 콘솔을 포함한 모든 Google Cloud 서비스에 대한 액세스를 제한할 수 있습니다.
절차를 계속 진행하기 전에 리소스에 대한 액세스를 결정할 때 인증서가 필요한 CBA 액세스 수준을 만들었는지 확인합니다.
사용자 그룹 만들기
CBA 액세스 수준에 따라 액세스 권한을 부여해야 하는 구성원이 포함된 사용자 그룹을 만듭니다.
Cloud 액세스 바인딩 관리자 역할 할당
다음 단계를 완료하여 Cloud 액세스 바인딩 관리자 역할을 사용자 그룹에 할당합니다.
콘솔
콘솔에서 IAM 페이지로 이동합니다.
추가를 클릭하고 다음을 구성하세요.
- 새 주 구성원: 역할을 부여할 그룹을 지정합니다.
- 역할을 선택한 후 Access Context Manager > Cloud 액세스 바인딩 관리자를 선택합니다.
- 저장을 클릭합니다.
gcloud CLI
조직 수준에서 IAM 권한을 추가할 수 있는 충분한 권한으로 인증되었는지 확인합니다. 최소한 조직 관리자 역할이 필요합니다.
올바른 권한이 있는지 확인한 후 로그인합니다.
gcloud auth login다음 명령어를 실행하여
GcpAccessAdmin역할을 할당합니다.gcloud organizations add-iam-policy-binding ORG_ID \ --member=user:EMAIL \ --role=roles/accesscontextmanager.gcpAccessAdminORG_ID는 조직의 ID입니다. 아직 조직 ID가 없으면 다음 명령어를 사용하여 찾을 수 있습니다.gcloud organizations listEMAIL은 역할을 부여할 사용자 또는 그룹의 이메일 주소입니다.
사용자 그룹에 CBA 액세스 수준 결합
콘솔에서 BeyondCorp Enterprise 페이지로 이동합니다.
조직을 선택하고 선택을 클릭합니다.
액세스 관리를 클릭하여 액세스 권한을 부여할 사용자 그룹을 선택합니다.
추가를 클릭하고 다음을 구성하세요.
- 구성원 그룹: 액세스 권한을 부여할 그룹을 지정합니다. 아직 액세스 수준에 결합되지 않은 그룹만 선택할 수 있습니다.
- 액세스 수준 선택: 그룹에 적용할 CBA 액세스 수준을 선택합니다.
- 저장을 클릭합니다.