Google Cloud 콘솔 및 Google Cloud APIs 보안

이 문서에서는 컨텍스트 기반 규칙을 사용하여 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스를 보호하는 방법을 설명합니다.

Google Cloud 콘솔 및 Google Cloud API의 컨텍스트 인식 액세스는 컨텍스트 기반 규칙이 있는 Google Cloud 콘솔 및 Google Cloud API에 대한 액세스를 제한합니다. 이는 Chrome Enterprise Premium의 일부로서, 정의된 액세스 요구사항을 충족하는 조직 내 개인 및 그룹이 Google Cloud 콘솔 및 Google Cloud API(Google Cloud CLI에서의 액세스 포함)에 액세스할 수 있도록 보장합니다.

Google Cloud 콘솔 및 Google Cloud API를 보호하려면 다음 단계를 완료하세요.

[선택사항] 조직의 기기에 Endpoint Verification을 배포합니다.
Access Context Manager에서 액세스 수준을 만듭니다.
컨텍스트 인식 제한사항이 적용될 사용자 그룹을 만듭니다.
필요한 Identity and Access Management 권한을 얻습니다.
Google Cloud 콘솔 및 Google Cloud APIs에 대한 컨텍스트 인식 규칙을 적용하는 액세스 바인딩을 만듭니다.

[선택사항] 엔드포인트 확인 배포

기기 속성을 사용하여 Google Cloud 콘솔 및 Google Cloud API에 대한 액세스를 보호하려면 조직의 기기에 엔드포인트 확인을 배포하세요.

Endpoint Verification은 MacOS, Windows, Linux 사용자를 위한 데스크톱 및 노트북의 Chrome 확장 프로그램으로 실행됩니다. Google 관리 콘솔에서 조직의 회사 소유 기기에 관리자가 배포하거나 조직 구성원이 직접 설치할 수 있습니다.

액세스 수준 만들기

Access Context Manager에서 기본 액세스 수준을 만들어 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스 권한을 결정할 때 사용할 수 있는 액세스 수준을 정의해야 합니다.

사용자 그룹 만들기

컨텍스트 인식 제한사항이 적용되어야 하는 사용자 그룹을 만드세요. 조직의 구성원이기도 한 이 그룹의 모든 사용자는 Google Cloud 콘솔 및 Google Cloud API에 액세스하려면 이전에 만든 액세스 수준을 충족해야 합니다.

필수 IAM 권한 부여

Access Context Manager 액세스 바인딩을 만드는 데 필요한 조직 수준에서 IAM 권한을 부여합니다.

콘솔

Google Cloud 콘솔에서 IAM 및 관리자 페이지로 이동합니다.

IAM 및 관리자로 이동
추가를 클릭하고 다음을 구성하세요.
- 새 구성원: 권한을 부여할 사용자 또는 그룹을 지정합니다.
- 역할 선택: Access Context Manager > Cloud 액세스 바인딩 관리자를 선택합니다.
저장을 클릭합니다.

gcloud

조직 수준에서 IAM 권한을 추가할 수 있는 충분한 권한으로 인증되었는지 확인합니다. 최소한 조직 관리자 역할이 필요합니다.

올바른 권한이 있음을 확인한 후 다음으로 로그인합니다.
```
gcloud auth login
```
다음 명령어를 실행하여 GcpAccessAdmin 역할을 할당합니다.
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID는 조직의 ID입니다. 아직 조직 ID가 없으면 다음 명령어를 사용하여 찾을 수 있습니다.
```
 gcloud organizations list
```
- EMAIL은 역할을 부여할 사용자 또는 그룹의 이메일 주소입니다.
참고: 바인딩에 대한 읽기 전용 액세스의 경우 accesscontextmanager.gcpAccessReader 역할을 할당할 수 있습니다.

액세스 바인딩 만들기

액세스 바인딩은 이전에 만든 사용자 그룹과 Google Cloud 콘솔 및 Google Cloud API에 액세스하도록 정의한 Access Context Manager 액세스 수준 간의 매핑입니다.

액세스 바인딩을 사용하면 사용자 그룹이 Google Cloud API 및 애플리케이션에 액세스하는 방법을 정의할 수 있습니다. 사용자 그룹을 액세스 수준에 연결하면 됩니다. 액세스 수준은 그룹의 애플리케이션 액세스에 적용되는 권한과 제한사항을 정의합니다.

액세스 결합에서 OAuth 클라이언트 ID를 사용하여 애플리케이션을 지정할 수 있습니다. 다음 애플리케이션을 이름을 사용하여 지정할 수 있습니다.

Google Cloud 콘솔
Google Cloud SDK
Google 인증 라이브러리 gcloud CLI에서 생성된 애플리케이션 기본 사용자 인증 정보(ADC)를 사용하고 이름을 사용하려면 gcloud CLI에 내장된 기본 클라이언트 ID를 사용해야 합니다. gcloud CLI에 클라이언트 ID 파일을 제공할 수 없습니다.

다음 유형의 액세스 바인딩을 만들 수 있습니다.

사용자 그룹을 액세스 수준에 바인딩: 특정 사용자 그룹에서 사용하는 모든 클라이언트 애플리케이션에 전역적으로 액세스 수준을 적용합니다. 이는 모든 애플리케이션에서 일관된 액세스 제어가 필요한 시나리오에 적합한 광범위한 접근 방식입니다.
사용자 그룹을 애플리케이션별 액세스 수준에 바인딩: 보다 세부적인 관리를 위해 사용자 그룹의 특정 애플리케이션에 서로 다른 액세스 수준을 할당할 수 있습니다. 이렇게 하면 애플리케이션의 요구사항과 민감도에 따라 액세스를 조정하여 의도치 않은 제한을 방지할 수 있습니다.
테스트 실행 구성을 사용하여 사용자 그룹을 액세스 수준에 바인딩: 액세스 바인딩을 완전히 구현하기 전에 테스트 실행 구성을 사용하여 변경사항의 영향을 테스트할 수 있습니다. 이렇게 하면 잠재적인 문제가 사용자에게 영향을 미치기 전에 이를 식별하고 해결할 수 있습니다.

테스트 실행 구성을 사용하여 다음 유형의 액세스 바인딩을 만들 수 있습니다.
- 그룹과 테스트 실행 액세스 수준 간
- 그룹, 일반 액세스 수준, 테스트 실행 액세스 수준 간
- 그룹과 애플리케이션 맵 간(각각 정규 및 테스트 실행 액세스 수준 포함)

액세스 수준으로 액세스 바인딩 만들기

콘솔

Google Cloud 콘솔에서 Chrome Enterprise Premium 페이지로 이동합니다.

Chrome Enterprise Premium으로 이동
조직을 선택하고 선택을 클릭합니다.
액세스 관리를 클릭하여 액세스 권한을 부여할 사용자 그룹을 선택합니다.
추가를 클릭하고 다음을 구성하세요.
- 구성원 그룹: 액세스 권한을 부여할 그룹을 지정합니다. 이미 액세스 수준에 결합되지 않은 그룹만 선택할 수 있습니다.
- 액세스 수준 선택: 그룹에 적용할 액세스 수준을 선택합니다.
저장을 클릭합니다.

gcloud

추가 플래그 옵션을 포함하여 이 명령어 및 다른 gcloud access-context-manager cloud-바인딩s 명령어에 대한 자세한 내용은 Google Cloud CLI를 참조하세요.

 gcloud access-context-manager cloud-bindings create \
    --group-key GROUP_ID \
    --level ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ]
}

애플리케이션과 액세스 수준의 맵으로 액세스 바인딩 만들기

애플리케이션 맵을 액세스 수준에 바인딩하면 특정 애플리케이션에 액세스 수준을 적용하여 다른 애플리케이션에 의도치 않은 영향을 미치지 않을 수 있습니다. 이 유형의 바인딩은 다음 유형의 사용 사례를 지원합니다.

일부 애플리케이션에 대한 액세스 제한: 다른 애플리케이션에 영향을 주지 않고 특정 애플리케이션에 액세스 수준을 적용합니다.

예: Google Cloud 콘솔을 시작으로 Google Cloud API에 인증서 기반 액세스(mTLS)를 구현하려고 합니다. Google Cloud 콘솔에만 mTLS를 적용하고 다른 애플리케이션에는 영향을 주지 않는 바인딩을 만들 수 있습니다. 나중에 테스트 실행 및 감사 로그를 사용하여 결정을 내릴 때 가이드로 삼아 필요에 따라 다른 애플리케이션으로 확장할 수 있습니다.
전체 정책에서 애플리케이션 제외: 광범위하게 적용된 액세스 수준에서 특정 애플리케이션을 제외합니다.

예: 조직에서 모든 Google Cloud API에 IP 기반 액세스 정책을 구현합니다. 하지만 이렇게 하면 두 Docker 애플리케이션에 문제가 발생합니다. Docker 애플리케이션에 대한 예외를 만들어 전역 IP 제한을 우회할 수 있습니다.

클라이언트 애플리케이션을 제한하는 액세스 바인딩 만들기

gcloud

액세스 바인딩을 만듭니다.

gcloud access-context-manager cloud-bindings create \
 --organization ORG_ID \
 --group-key GROUP_ID \
 --binding-file BINDING_FILE_PATH

다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
BINDING_FILE_PATH는 액세스 바인딩 스키마가 포함된 YAML 파일의 경로입니다. 바인딩 파일은 scopedAccessSettings만 지원합니다.

다음은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 두 가지 액세스 수준에 바인딩하는 바인딩 파일의 예입니다.

  scopedAccessSettings:
  - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
    activeSettings:
      accessLevels:
      - ACCESS_LEVEL_1
  - scope:
     clientScope:
       restrictedClientApplication:
         client_id: CLIENT_ID
     activeSettings:
       accessLevels:
       - ACCESS_LEVEL_2

다음을 바꿉니다.

ACCESS_LEVEL_1 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.
ACCESS_LEVEL_2 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.
ACCESS_LEVEL_1 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.
ACCESS_LEVEL_2 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.

HTTP 메서드 및 URL:

POST
https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

다음 요청 JSON 본문은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 두 가지 액세스 수준에 바인딩합니다.

{
     "group_key": "{GROUP_ID}",
     "scoped_access_settings": [
        {
            "scope": {
              "client_scope": {
                  "restricted_client_application": {
                      "name": "Cloud Console"
                  }
              }
          },
          "active_settings": {
              "access_levels": [
                 {ACCESS_LEVEL_1}
              ]
          }
      },
      {
          "scope": {
              "client_scope": {
                  "restricted_client_application": {
                      "client_id": "{CLIENT_ID}"
                  }
              }
          },
            "active_settings": {
              "access_levels": [
                  "{ACCESS_LEVEL_2}"
              ]
          }
      }
  ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json; charset=utf-8" \
  -d @request.json \
  "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

PowerShell

다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하여 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
 -Method POST `
 -Headers $headers `
 -ContentType: "application/json; charset=utf-8" `
 -InFile request.json `
 -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/660620010374/gcpUserAccessBindings/aAQS-YRQXEDW8mJ4tE5U7VIDwBczxhxwtfUaDkUDLBKBIPvzH",
  "groupKey": "019c6y182grvb0j",
  "scopedAccessSettings": [
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "name": "Cloud Console"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/244346580249/accessLevels/requireMutualTLS"
        ]
      }
    },
    {
      "scope": {
        "clientScope": {
          "restrictedClientApplication": {
            "clientId": "32555940559.apps.googleusercontent.com"
          }
        }
      },
      "activeSettings": {
        "accessLevels": [
          "accessPolicies/244346580249/accessLevels/requireMutualTLS"
        ]
      }
    }
  ]
}

클라이언트 애플리케이션을 제외하는 액세스 바인딩 만들기

gcloud

액세스 바인딩을 만듭니다.

gcloud access-context-manager cloud-bindings create \
--organization {ORG_ID} \
--group-key {GROUP_ID} \
--level {ACCESS_LEVEL} \
--binding-file {BINDING_FILE_PATH}

다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다. 이 액세스 수준은 모든 클라이언트 애플리케이션에 전역적으로 적용되는 액세스 조건을 정의합니다.
BINDING_FILE_PATH는 액세스 바인딩 스키마가 포함된 YAML 파일의 경로입니다. 바인딩 파일은 scopedAccessSettings만 지원합니다. 예외 사용 사례의 경우 이 바인딩 파일에는 액세스 수준에서 예외가 적용된 애플리케이션이 포함됩니다.

다음은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 두 가지 액세스 수준에 바인딩하는 바인딩 파일의 예입니다.

scopedAccessSettings:
- scope:
   clientScope:
     restrictedClientApplication:
       name: Cloud Console
  activeSettings:
    accessLevels:
    - {EXEMPTION_ACCESS_LEVEL}
- scope:
   clientScope:
     restrictedClientApplication:
       client_id: {CLIENT_ID}
   activeSettings:
     accessLevels:
     - {EXEMPTION_ACCESS_LEVEL}

다음을 바꿉니다.

EXEMPTION_ACCESS_LEVEL 다음 방법 중 하나로 예외 액세스 수준을 만들 수 있습니다.
- 맞춤 액세스 수준을 만들고 CEL 표현식 조건에 true를 값으로 제공합니다.
- IP 범위 기반 기본 액세스 수준을 만들고 IP 서브네트워크의 값으로 0.0.0.0/0를 제공합니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ACCESS_LEVEL: 모든 클라이언트 애플리케이션에 전역적으로 적용되는 액세스 조건을 정의하는 액세스 수준입니다.
EXEMPTION_ACCESS_LEVEL 다음 방법 중 하나로 예외 액세스 수준을 만들 수 있습니다.
- 맞춤 액세스 수준을 만들고 CEL 표현식 조건에 true를 값으로 제공합니다.
- IP 범위 기반 기본 액세스 수준을 만들고 IP 서브네트워크의 값으로 0.0.0.0/0를 제공합니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.

HTTP 메서드 및 URL:

POST
https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

다음 요청 JSON 본문은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 전 세계적으로 적용된 액세스 수준에서 제외합니다.

{
    "group_key": "{GROUP_ID}",
    "access_levels": [
       {ACCESS_LEVEL}
    ],
    "scoped_access_settings": [
        {
            "scope": {
                "client_scope": {
                    "restricted_client_application": {
                        "name": "Cloud Console"
                    }
                }
            },
            "active_settings": {
                "access_levels": [
                   {EXEMPTION_ACCESS_LEVEL}
                ]
            }
        },
        {
            "scope": {
                "client_scope": {
                    "restricted_client_application": {
                        "client_id": "{CLIENT_ID}"
                    }
                }
            },
            "active_settings": {
                "access_levels": [
                    "{EXEMPTION_ACCESS_LEVEL}"
                ]
            }
        }
    ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json; charset=utf-8" \
  -d @request.json \
  "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
 -Method POST `
 -Headers $headers `
 -ContentType: "application/json; charset=utf-8" `
 -InFile request.json `
 -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

다음과 비슷한 JSON 응답이 표시됩니다.

  {
      "name": "organizations/660620010374/gcpUserAccessBindings/aAQS-YRQXEDW8mJ4tE5U7VIDwBczxhxwtfUaDkUDLBKBIPvzH",
      "groupKey": "019c6y182grvb0j",
      "accessLevels": [
        "accessPolicies/244346580249/accessLevels/requireMutualTLS"
      ],
      "scopedAccessSettings": [
        {
          "scope": {
            "clientScope": {
              "restrictedClientApplication": {
                "name": "Cloud Console"
              }
            }
          },
          "activeSettings": {
            "accessLevels": [
              "accessPolicies/244346580249/accessLevels/AlwaysTrue"
            ]
          }
        },
        {
          "scope": {
            "clientScope": {
              "restrictedClientApplication": {
                "clientId": "32555940559.apps.googleusercontent.com"
              }
            }
          },
          "activeSettings": {
            "accessLevels": [
              "accessPolicies/244346580249/accessLevels/AlwaysTrue"
            ]
          }
        }
      ]
  }
  ```

테스트 실행 구성으로 액세스 바인딩 만들기

테스트 실행 구성으로 액세스 바인딩을 만들어 다음 시나리오에서 사용자 환경의 액세스 수준 영향을 이해할 수 있습니다.

액세스 수준을 적용하기 전에 액세스 수준의 영향을 평가하려면 테스트 실행 액세스 수준으로 액세스 바인딩을 만듭니다.
액세스 수준을 적용하고 테스트 실행 액세스 수준의 영향을 동시에 평가하려면 활성 액세스 수준과 테스트 실행 액세스 수준으로 액세스 바인딩을 만듭니다.

테스트 실행 액세스 수준이 포함된 액세스 바인딩은 액세스를 차단하지 않지만 테스트 실행 액세스 수준의 위반을 로깅합니다. 로그 세부정보를 보려면 거부 로그를 참고하세요.

테스트 실행 액세스 수준으로 액세스 바인딩 만들기

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key GROUP_ID \
    --dry-run-level DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",

  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

액세스 수준 및 테스트 실행 액세스 수준으로 액세스 바인딩 만들기

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key GROUP_ID \
    --level ACCESS_LEVEL \
    --dry-run-level DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

애플리케이션과 액세스 수준 및 테스트 실행 액세스 수준의 매핑으로 액세스 바인딩 만들기

gcloud

액세스 바인딩을 만듭니다.

 gcloud access-context-manager cloud-bindings create \
  --organization ORG_ID \
  --group-key GROUP_ID \
  --binding-file BINDING_FILE_PATH

다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
BINDING_FILE_PATH는 액세스 바인딩 스키마가 포함된 YAML 파일의 경로입니다. 바인딩 파일은 scopedAccessSettings만 지원합니다.

다음은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 액세스 수준 및 테스트 실행 액세스 수준에 바인딩하는 바인딩 파일의 예입니다.

scopedAccessSettings:
- scope:
   clientScope:
     restrictedClientApplication:
       name: Cloud Console
  activeSettings:
    accessLevels:
    - {ACCESS_LEVEL_1}
- scope:
   clientScope:
     restrictedClientApplication:
       client_id: {CLIENT_ID}
   dryRunSettings:
     accessLevels:
     - {ACCESS_LEVEL_2}

다음을 바꿉니다.

ACCESS_LEVEL_1 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.
ACCESS_LEVEL_2 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
CLIENT_ID 애플리케이션의 OAuth 클라이언트 ID입니다.
ACCESS_LEVEL_1 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.
ACCESS_LEVEL_2 클라이언트 애플리케이션에 대한 액세스 조건을 정의하는 액세스 수준입니다.

HTTP 메서드 및 URL:

POST
https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

다음 요청 JSON 본문은 Google Cloud 콘솔과 사용자의 OAuth 애플리케이션을 액세스 수준 및 예행연습 액세스 수준에 바인딩합니다.

{
    "group_key": "{GROUP_ID}",
    "scoped_access_settings": [
        {
            "scope": {
                "client_scope": {
                    "restricted_client_application": {
                        "name": "Cloud Console"
                    }
                }
            },
            "active_settings": {
                "access_levels": [
                   {ACCESS_LEVEL_1}
                ]
            }
        },
        {
            "scope": {
                "client_scope": {
                    "restricted_client_application": {
                        "client_id": "{CLIENT_ID}"
                    }
                }
            },
            "dry_run_settings": {
                "access_levels": [
                    "{ACCESS_LEVEL_2}"
                ]
            }
        }
    ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json; charset=utf-8" \
  -d @request.json \
  "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
 -Method POST `
 -Headers $headers `
 -ContentType: "application/json; charset=utf-8" `
 -InFile request.json `
 -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
"name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
"groupKey": "045jfvxd0ybeul8",
"accessLevels": [
 "accessPolicies/305009197125/accessLevels/device_lock"
]
}

다음과 비슷한 JSON 응답이 표시됩니다.

{
    "name": "organizations/660620010374/gcpUserAccessBindings/aAQS-YRQXEDW8mJ4tE5U7VIDwBczxhxwtfUaDkUDLBKBIPvzH",
    "groupKey": "019c6y182grvb0j",
    "scopedAccessSettings": [
      {
        "scope": {
          "clientScope": {
            "restrictedClientApplication": {
              "name": "Cloud Console"
            }
          }
        },
        "activeSettings": {
          "accessLevels": [
            "accessPolicies/244346580249/accessLevels/requireMutualTLS"
          ]
        }
      },
      {
        "scope": {
          "clientScope": {
            "restrictedClientApplication": {
              "clientId": "32555940559.apps.googleusercontent.com"
            }
          }
        },
        "dryRunSettings": {
          "accessLevels": [
            "accessPolicies/244346580249/accessLevels/requireMutualTLS"
          ]
        }
      }
    ]
}

거부 로그 보기

테스트 실행 구성을 만든 후 로그를 검토하여 테스트 실행 구성에서 액세스가 거부되는 위치를 파악할 수 있습니다.

다음 표에는 로그를 가져오기 위한 쿼리를 만들고 실행하는 데 사용할 수 있는 로그 필드가 나와 있습니다.

필드 이름	설명
`protoPayload > authenticationInfo > principalEmail`	액세스가 거부된 주 구성원의 이메일 ID입니다.
`protoPayload > metadata > deniedApplications`	액세스가 거부된 애플리케이션의 이름입니다.
`protoPayload > metadata > evaluationResult`	활성 액세스 정책의 평가 결과입니다. 가능한 값은 `GRANTED` 또는 `DENIED`입니다.
`protoPayload > metadata > appliedAccessLevels`	활성 액세스 정책에 필요한 적용된 액세스 수준입니다.
`protoPayload > metadata > appliedDryRunAccessLevels`	테스트 실행 액세스 정책에 필요한 적용된 액세스 수준입니다.
`protoPayload > metadata > dryRunEvaluationResult`	테스트 실행 액세스 정책의 평가 결과로, 액세스 정책이 적용될 때 의도한 작업을 나타냅니다. 가능한 값은 `GRANTED` 또는 `DENIED`입니다.

로그 쿼리를 만드는 방법에 관한 자세한 내용은 Logging 쿼리 언어를 참고하세요.

콘솔

Google Cloud 콘솔 탐색 메뉴에서 Logging을 클릭한 다음 로그 탐색기를 클릭합니다.

로그 탐색기로 이동

쿼리 필드에 다음 필터와 같은 쿼리 필터를 입력한 다음 쿼리 실행을 클릭합니다.

severity="ERROR" AND
(protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
 protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
 protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"

쿼리 결과에서 로그를 확인합니다.

gcloud

gcloud CLI를 사용하여 로그를 보려면 다음과 같은 명령어를 실행합니다.

gcloud logging read 'severity="ERROR" AND
  (protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
   protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
   protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"'

액세스 바인딩 관리

사용자 그룹에 대해 액세스 바인딩이 생성되면 바인딩 액세스 수준의 만족도를 기준으로 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스가 제어됩니다.

개발자는 생성한 액세스 바인딩의 세부정보를 열람, 수정, 삭제할 수 있습니다.

액세스 바인딩 보기

콘솔

조직의 모든 액세스 바인딩을 보고 액세스 바인딩의 세부정보를 볼 수 있습니다.

gcloud

모든 액세스 바인딩을 보려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings list \
   --organization ORG_ID
```
각 항목의 의미는 다음과 같습니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. . 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
액세스 바인딩 세부정보를 보려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings describe \
  --binding=BINDING_ID
```
각 항목의 의미는 다음과 같습니다.

BINDING_ID는 액세스 바인딩의 액세스 바인딩 또는 정규화된 식별자의 ID입니다.

API

모든 액세스 바인딩을 확인합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
HTTP 메서드 및 URL:
```
GET https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": string,
  "groupKey": string,
  "accessLevels": [
    string
  ]
  "dryRunAccessLevels": [
  string
  ]
}
```
액세스 바인딩 세부정보를 확인합니다.

HTTP 메서드 및 URL:
```
GET https://accesscontextmanager.googleapis.com/v1/BINDING_ID
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://accesscontextmanager.googleapis.com/v1/BINDING_ID"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://accesscontextmanager.googleapis.com/v1/BINDING_ID" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```

액세스 바인딩 업데이트

콘솔

필요에 따라 액세스 바인딩을 업데이트할 수 있습니다.

gcloud

액세스 수준 업데이트와 같은 액세스 바인딩을 업데이트하려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings update \
     --binding ACCESS_BINDING \
     --level ACCESS_LEVEL
```
각 항목의 의미는 다음과 같습니다.
- ACCESS_BINDING은 organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME 형식입니다.
- ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- 필요에 따라 ACCESS_LEVEL의 값을 바꿉니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
테스트 실행 액세스 수준으로 액세스 바인딩을 업데이트하려면 다음 명령어를 실행합니다.
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
필요에 따라 DRY_RUN_ACCESS_LEVEL의 값을 바꿉니다. 형식은 accessPolicies/POLICY_ID/accessLevels/DRY_ACCESS_LEVEL_NAME입니다.
액세스 바인딩을 업데이트하고 액세스 수준과 테스트 실행 액세스 수준을 모두 변경하려면 다음 명령어를 실행합니다.
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
 --level=`ACCESS_LEVEL`
 --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
필요에 따라 ACCESS_LEVEL 및 DRY_RUN_ACCESS_LEVEL의 값을 바꿉니다. ACCESS_LEVEL와 DRY_RUN_ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식이며 DRY_RUN_ACCESS_LEVEL은 ACCESS_LEVEL과 동일합니다.
액세스 바인딩에서 테스트 실행 액세스 수준을 삭제하려면 다음 명령어를 실행합니다.

참고: 액세스 바인딩의 경우 액세스 수준을 삭제할 수 없으며 테스트 실행 액세스 수준은 동시에 비워 둘 수 없습니다.
```
  gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=
```

API

액세스 바인딩 업데이트(예: 액세스 수준 변경)

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels
```
JSON 요청 본문:
```
{
    "accessLevels": [ "ACCESS_LEVEL" ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
    "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
    "groupKey": "045jfvxd0ybeul8",
    "accessLevels": [
      "accessPolicies/305009197125/accessLevels/device_lock"
    ]
}
```
테스트 실행 액세스 수준으로 액세스 바인딩을 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
JSON 요청 본문:
```
{
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  name: "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",

  group_key: "045jfvxd0ybeul8",

  dry_run_access_levels: [ "accessPolicies/305009197125/accessLevels/another" ]
  }
```
액세스 바인딩을 업데이트하고 액세스 수준과 테스트 실행 액세스 수준을 모두 변경합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
- DRY_RUN_ACCESS_LEVEL는 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels
```
JSON 요청 본문:
```
{
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
 }
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```
액세스 바인딩에서 테스트 실행 액세스 수준을 삭제합니다.

참고: 액세스 바인딩의 경우 액세스 수준을 삭제할 수 없으며 테스트 실행 액세스 수준은 동시에 비워 둘 수 없습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
HTTP 메서드 및 URL:
```
PATCH PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
JSON 요청 본문:
```
{
  "dryRunAccessLevels": [ ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
성공 상태 코드(2xx)와 빈 응답을 받게 됩니다.

액세스 바인딩 삭제

콘솔

필요한 경우 액세스 바인딩을 삭제할 수 있습니다.

gcloud

   gcloud access-context-manager cloud-bindings delete \
       --binding ACCESS_BINDING

각 항목의 의미는 다음과 같습니다.

ACCESS_BINDING은 organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME 형식입니다.
ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.

HTTP 메서드 및 URL:

DELETE https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

다음 명령어를 실행합니다.

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME"

PowerShell

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME" | Select-Object -Expand Content

성공 상태 코드(2xx)와 빈 응답을 받게 됩니다.

자주 묻는 질문(FAQ)

새로 생성된 액세스 바인딩이 적용되는 데 얼마나 걸리나요?

최대 24시간이 걸릴 수 있습니다.
액세스 바인딩이 있는 그룹을 삭제하면 어떻게 되나요?

그룹과 바인딩이 삭제되고 그룹의 모든 사용자에게 액세스가 허용됩니다.
액세스 바인딩에 사용된 액세스 수준을 삭제하면 어떻게 되나요?

액세스 수준은 충족될 수 없으며 바인딩 그룹의 모든 사용자가 거부됩니다.
사용자가 액세스 바인딩이 있는 여러 그룹에 속한 경우 어떻게 되나요?

사용자는 해당 그룹 중 하나의 액세스 수준만 충족해도 액세스 권한이 부여됩니다.
내 조직에 속하지 않은 사용자는 어떻게 되나요?

조직에 속하지 않은 사용자는 컨텍스트 인식 제한사항을 적용할 사용자 그룹에 추가되더라도 액세스 바인딩이 적용되지 않습니다.

다음 단계

Chrome Enterprise Premium의 감사 로그에 대해 자세히 알아보려면 감사 로깅을 참고하세요.
관리자 작업에 대해 로깅되는 API 작업의 요약을 포함하여 Admin Context Manager의 감사 로깅에 대한 자세한 내용은 Access Context Manager 감사 로깅 정보를 참조하세요.