Google Cloud 콘솔 및 Google Cloud APIs 보안

이 문서에서는 컨텍스트 기반 규칙을 사용하여 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스를 보호하는 방법을 설명합니다.

Google Cloud 콘솔 및 Google Cloud API의 컨텍스트 인식 액세스는 컨텍스트 기반 규칙이 있는 Google Cloud 콘솔 및 Google Cloud API에 대한 액세스를 제한합니다. 이는 BeyondCorp Enterprise의 일부로서, 정의된 액세스 요구사항을 충족하는 조직 내 개인 및 그룹이 Google Cloud 콘솔 및 Google Cloud API(Google Cloud CLI에서의 액세스 포함)에 액세스할 수 있도록 보장합니다.

Google Cloud 콘솔 및 Google Cloud API를 보호하려면 다음 단계를 완료하세요.

[선택사항] 조직의 기기에 Endpoint Verification을 배포합니다.
Access Context Manager에서 액세스 수준을 만듭니다.
컨텍스트 인식 제한사항을 적용할 사용자 그룹을 만듭니다.
필요한 Identity and Access Management 권한을 얻습니다.
Google Cloud 콘솔 및 Google Cloud APIs에 대한 컨텍스트 인식 규칙을 적용하는 액세스 바인딩을 만듭니다.

[선택사항] Endpoint Verification 배포

기기 속성을 사용하여 Google Cloud 콘솔 및 Google Cloud API에 대한 액세스를 보호하려면 조직의 기기에 엔드포인트 확인을 배포하세요.

Endpoint Verification은 MacOS, Windows, Linux 사용자를 위한 데스크톱 및 노트북의 Chrome 확장 프로그램으로 실행됩니다. Google 관리 콘솔에서 조직의 회사 소유 기기에 관리자가 배포하거나 조직 구성원이 직접 설치할 수 있습니다.

액세스 수준 만들기

Access Context Manager에서 기본 액세스 수준을 만들어 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스 권한을 결정할 때 사용할 수 있는 액세스 수준을 정의해야 합니다.

참고: 다음 액세스 제어는 현재 지원되지 않으며 액세스가 거부됩니다.

docker 명령줄 도구에서 액세스할 때 지역 제한을 통하는 것을 포함해 IP 주소를 속성으로 사용
비공개 IP 주소(예: kubectl 명령줄 도구에서 비공개 클러스터에 액세스하거나 관리형 Looker 인스턴스를 사용하는 경우)
Looker에서 Google Cloud 커넥터(BigQuery 등) 승인

Looker를 사용하여 BigQuery API를 호출하는 경우 관리형 Looker 인스턴스의 요청에는 Access Context Manager에서 지원하지 않는 비공개 IP 주소가 포함되어 있습니다.
Looker Studio에서 Google Cloud API(예: BigQuery)로의 액세스는 항상 Access Context Manager에서 허용됩니다.
서드 파티(Google 이외) OAuth 클라이언트 애플리케이션을 사용하는 경우의 기기 속성

사용자 그룹 만들기

컨텍스트 인식 제한사항이 적용되어야 하는 사용자 그룹을 만드세요. 조직의 구성원이기도 한 이 그룹의 모든 사용자는 Google Cloud 콘솔 및 Google Cloud API에 액세스하려면 이전에 만든 액세스 수준을 충족해야 합니다.

필수 IAM 권한 부여

Access Context Manager 액세스 바인딩을 만드는 데 필요한 조직 수준에서 IAM 권한을 부여합니다.

콘솔

Google Cloud 콘솔에서 IAM 및 관리자 페이지로 이동합니다.

IAM 및 관리자로 이동
추가를 클릭하고 다음을 구성하세요.
- 새 구성원: 권한을 부여할 사용자 또는 그룹을 지정합니다.
- 역할 선택: Access Context Manager > Cloud 액세스 바인딩 관리자를 선택합니다.
저장을 클릭합니다.

gcloud

조직 수준에서 IAM 권한을 추가할 수 있는 충분한 권한으로 인증되었는지 확인합니다. 최소한 조직 관리자 역할이 필요합니다.

올바른 권한이 있음을 확인한 후 다음으로 로그인합니다.
```
gcloud auth login
```
다음 명령어를 실행하여 GcpAccessAdmin 역할을 할당합니다.
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID는 조직의 ID입니다. 아직 조직 ID가 없으면 다음 명령어를 사용하여 찾을 수 있습니다.
```
 gcloud organizations list
```
- EMAIL은 역할을 부여할 사용자 또는 그룹의 이메일 주소입니다.
참고: 바인딩에 대한 읽기 전용 액세스의 경우 accesscontextmanager.gcpAccessReader 역할을 할당할 수 있습니다.

액세스 바인딩 만들기

액세스 바인딩은 이전에 만든 사용자 그룹과 Google Cloud 콘솔 및 Google Cloud API에 액세스하도록 정의한 Access Context Manager 액세스 수준 간의 매핑입니다.

다음 방법 중 하나로 액세스 바인딩을 만들 수 있습니다.

그룹과 액세스 수준 간 액세스 바인딩
테스트 실행 구성이 있는 그룹과 액세스 수준 간의 액세스 바인딩 테스트 실행 구성을 사용하면 그룹과 테스트 실행 액세스 수준 간에 또는 그룹, 액세스 수준, 테스트 실행 액세스 수준 간에 액세스 바인딩을 만들 수 있습니다.

액세스 수준으로 액세스 바인딩 만들기

콘솔

Google Cloud 콘솔에서 BeyondCorp Enterprise 페이지로 이동합니다.

BeyondCorp Enterprise로 이동
조직을 선택하고 선택을 클릭합니다.
액세스 관리를 클릭하여 액세스 권한을 부여할 사용자 그룹을 선택합니다.
추가를 클릭하고 다음을 구성하세요.
- 구성원 그룹: 액세스 권한을 부여할 그룹을 지정합니다. 이미 액세스 수준에 결합되지 않은 그룹만 선택할 수 있습니다.
- 액세스 수준 선택: 그룹에 적용할 액세스 수준을 선택합니다.
저장을 클릭합니다.

gcloud

추가 플래그 옵션을 포함하여 이 명령어 및 다른 gcloud access-context-manager cloud-바인딩s 명령어에 대한 자세한 내용은 Google Cloud CLI를 참조하세요.

 gcloud access-context-manager cloud-bindings create \
    --group-key GROUP_ID \
    --level ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ]
}

테스트 실행 구성으로 액세스 바인딩 만들기

테스트 실행 구성으로 액세스 바인딩을 만들어 다음 시나리오에서 사용자 환경의 액세스 수준 영향을 이해할 수 있습니다.

액세스 수준을 적용하기 전에 액세스 수준의 영향을 평가하려면 테스트 실행 액세스 수준으로 액세스 바인딩을 만듭니다.
액세스 수준을 적용하고 테스트 실행 액세스 수준의 영향을 동시에 평가하려면 활성 액세스 수준과 테스트 실행 액세스 수준으로 액세스 바인딩을 만듭니다.

테스트 실행 액세스 수준이 포함된 액세스 바인딩은 액세스를 차단하지 않지만 테스트 실행 액세스 수준의 위반을 로깅합니다. 로그 세부정보를 보려면 거부 로그를 참조하세요.

테스트 실행 액세스 수준으로 액세스 바인딩 만들기

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key = GROUP_ID \
    --dry-run-level = DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",

  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

액세스 수준 및 테스트 실행 액세스 수준으로 액세스 바인딩 만들기

gcloud

    gcloud access-context-manager cloud-bindings create \
    --group-key = GROUP_ID \
    --level = ACCESS_LEVEL \
    --dry-run-level = DRY_RUN_ACCESS_LEVEL \
    --organization ORG_ID

각 항목의 의미는 다음과 같습니다.

GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
GROUP_ID는 이전에 만든 사용자 그룹의 그룹 ID입니다.
사용 가능한 그룹 ID가 없으면 Groups 리소스의 get 메서드를 호출하여 검색할 수 있습니다.
POLICY_ID는 조직의 액세스 정책 ID입니다.
ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.

HTTP 메서드 및 URL:

POST https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings

JSON 요청 본문:

{
  "groupKey": "GROUP_ID",
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}

거부 로그 보기

테스트 실행 구성을 만든 후에는 로그를 검토하여 테스트 실행 구성이 액세스를 거부하는 위치를 식별할 수 있습니다.

다음 표에는 로그를 가져오기 위해 쿼리를 만들고 실행하는 데 사용할 수 있는 로그 필드가 나와 있습니다.

입력란 이름	설명
`protoPayload > authenticationInfo > principalEmail`	액세스가 거부된 주 구성원의 이메일 ID입니다.
`protoPayload > metadata > deniedApplications`	액세스가 거부된 애플리케이션의 이름입니다.
`protoPayload > metadata > evaluationResult`	활성 액세스 정책의 평가 결과입니다. 가능한 값은 `GRANTED` 또는 `DENIED`입니다.
`protoPayload > metadata > appliedAccessLevels`	활성 액세스 정책에 필요한 적용된 액세스 수준입니다.
`protoPayload > metadata > appliedDryRunAccessLevels`	테스트 실행 액세스 정책에 필요한 적용된 액세스 수준입니다.
`protoPayload > metadata > dryRunEvaluationResult`	테스트 실행 액세스 정책의 평가 결과로, 액세스 정책이 시행될 때 의도한 작업을 나타냅니다. 가능한 값은 `GRANTED` 또는 `DENIED`입니다.

로그의 쿼리를 만드는 방법에 대한 자세한 내용은 Logging 쿼리 언어를 참조하세요.

콘솔

Google Cloud 콘솔 탐색 메뉴에서 Logging을 클릭한 후 로그 탐색기를 클릭합니다.

로그 탐색기로 이동

쿼리 필드에 다음 필터와 같은 쿼리 필터를 입력한 다음 쿼리 실행을 클릭합니다.

severity="ERROR" AND
(protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
 protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
 protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"

쿼리 결과에서 로그를 확인합니다.

gcloud

gcloud CLI를 사용하여 로그를 보려면 다음과 같은 명령어를 실행합니다.

gcloud logging read 'severity="ERROR" AND
  (protoPayload.metadata.evaluationResult=DENIED OR protoPayload.metadata.dryRunEvaluationResult=DENIED) AND
   protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.ContextAwareAccessAuditMetadata" AND
   protoPayload.metadata.deniedApplications.name="CLOUD_PLATFORM"'

액세스 바인딩 관리

사용자 그룹에 대해 액세스 바인딩이 생성되면 바인딩 액세스 수준의 만족도를 기준으로 Google Cloud 콘솔 및 Google Cloud APIs에 대한 액세스가 제어됩니다.

개발자는 생성한 액세스 바인딩의 세부정보를 열람, 수정, 삭제할 수 있습니다.

액세스 바인딩 보기

콘솔

조직의 모든 액세스 바인딩을 보고 액세스 바인딩의 세부정보를 볼 수 있습니다.

gcloud

모든 액세스 바인딩을 보려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings list \
   --organization ORG_ID
```
각 항목의 의미는 다음과 같습니다.

ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. . 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
액세스 바인딩 세부정보를 보려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings describe \
  --binding=BINDING_ID
```
각 항목의 의미는 다음과 같습니다.

BINDING_ID는 액세스 바인딩의 액세스 바인딩 또는 정규화된 식별자의 ID입니다.

API

모든 액세스 바인딩을 확인합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다. 만약 access-context-manager/organization 속성이 설정되지 않았다면, 선택사항인 --organization 플래그의 ORG_ID를 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID로 바꾸세요.
HTTP 메서드 및 URL:
```
GET https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/organizations/ORG_ID/gcpUserAccessBindings" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": string,
  "groupKey": string,
  "accessLevels": [
    string
  ]
  "dryRunAccessLevels": [
  string
  ]
}
```
액세스 바인딩 세부정보를 확인합니다.

HTTP 메서드 및 URL:
```
GET https://accesscontextmanager.googleapis.com/v1/BINDING_ID
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://accesscontextmanager.googleapis.com/v1/BINDING_ID"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/BINDING_ID" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```

액세스 바인딩 업데이트

콘솔

필요에 따라 액세스 바인딩을 업데이트할 수 있습니다.

gcloud

액세스 수준 업데이트와 같은 액세스 바인딩을 업데이트하려면 다음 명령어를 실행합니다.
```
  gcloud access-context-manager cloud-bindings update \
     --binding ACCESS_BINDING \
     --level ACCESS_LEVEL
```
각 항목의 의미는 다음과 같습니다.
- ACCESS_BINDING은 organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME 형식입니다.
- ORG_ID는 GcpAccessAdmin 역할을 만들 때 사용한 조직의 ID입니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- 필요에 따라 ACCESS_LEVEL 값을 바꿉니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
테스트 실행 액세스 수준으로 액세스 바인딩을 업데이트하려면 다음 명령어를 실행합니다.
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
필요에 따라 DRY_RUN_ACCESS_LEVEL 값을 바꿉니다. 형식은 accessPolicies/POLICY_ID/accessLevels/DRY_ACCESS_LEVEL_NAME입니다.
액세스 바인딩을 업데이트하고 액세스 수준과 테스트 실행 액세스 수준을 모두 변경하려면 다음 명령어를 실행합니다.
```
 gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
 --level=`ACCESS_LEVEL`
 --dry-run-level=DRY_RUN_ACCESS_LEVEL
```
필요에 따라 ACCESS_LEVEL 및 DRY_RUN_ACCESS_LEVEL의 값을 바꿉니다. ACCESS_LEVEL와 DRY_RUN_ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식이며 DRY_RUN_ACCESS_LEVEL은 ACCESS_LEVEL과 동일합니다.
액세스 바인딩에서 테스트 실행 액세스 수준을 삭제하려면 다음 명령어를 실행합니다.

참고: 액세스 바인딩의 경우 액세스 수준을 삭제할 수 없으며 테스트 실행 액세스 수준은 동시에 비워 둘 수 없습니다.
```
  gcloud access-context-manager cloud-bindings update --binding=ACCESS_BINDING
  --dry-run-level=
```

API

액세스 바인딩 업데이트(예: 액세스 수준 변경)

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels
```
JSON 요청 본문:
```
{
    "accessLevels": [ "ACCESS_LEVEL" ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
    "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
    "groupKey": "045jfvxd0ybeul8",
    "accessLevels": [
      "accessPolicies/305009197125/accessLevels/device_lock"
    ]
}
```
테스트 실행 액세스 수준으로 액세스 바인딩을 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
JSON 요청 본문:
```
{
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  name: "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",

  group_key: "045jfvxd0ybeul8",

  dry_run_access_levels: [ "accessPolicies/305009197125/accessLevels/another" ]
  }
```
액세스 바인딩을 업데이트하고 액세스 수준과 테스트 실행 액세스 수준을 모두 변경합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
- ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
- DRY_RUN_ACCESS_LEVEL은 효과를 이해하려는 ACCESS_LEVEL입니다. ACCESS_LEVEL은 accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME 형식입니다. POLICY_ID 및 ACCESS_LEVEL_NAME의 값은 액세스 수준을 만들 때 Access Context Manager에서 확인할 수 있습니다.
HTTP 메서드 및 URL:
```
PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels
```
JSON 요청 본문:
```
{
  "accessLevels": [ "ACCESS_LEVEL" ],
  "dryRunAccessLevels": [ "DRY_RUN_ACCESS_LEVEL" ]
 }
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=access_levels,dry_run_access_levels" | Select-Object -Expand Content
```
다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "name": "organizations/427391306986/gcpUserAccessBindings/aAQS-YRSviv2hC12vZFUN3AZzvwa6KV2hJ89iMytB_nHUcT1l",
  "groupKey": "045jfvxd0ybeul8",
  "accessLevels": [
    "accessPolicies/305009197125/accessLevels/device_lock"
  ],
  "dryRunAccessLevels": [
    "accessPolicies/305009197125/accessLevels/another"
  ]
}
```
액세스 바인딩에서 테스트 실행 액세스 수준을 삭제합니다.

참고: 액세스 바인딩의 경우 액세스 수준을 삭제할 수 없으며 테스트 실행 액세스 수준은 동시에 비워 둘 수 없습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.
HTTP 메서드 및 URL:
```
PATCH PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels
```
JSON 요청 본문:
```
{
  "dryRunAccessLevels": [ ]
}
```
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels"
```
PowerShell

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "PATCH https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME?update_mask=dry_run_access_levels" | Select-Object -Expand Content
```
성공 상태 코드(2xx)와 빈 응답을 받게 됩니다.

액세스 바인딩 삭제

콘솔

필요한 경우 액세스 바인딩을 삭제할 수 있습니다.

gcloud

   gcloud access-context-manager cloud-bindings delete \
       --binding ACCESS_BINDING

각 항목의 의미는 다음과 같습니다.

ACCESS_BINDING은 organizations/ORG_ID/gcpUserAccessBindings/ACCESS_BINDING_NAME 형식입니다.
ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.

API

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ACCESS_BINDING_NAME은 액세스 바인딩이 만들어졌을 때 name 식별자에 반환된 고유 문자열입니다.

HTTP 메서드 및 URL:

DELETE https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

다음 명령어를 실행합니다.

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME"

PowerShell

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://accesscontextmanager.googleapis.com/v1/ACCESS_BINDING_NAME" | Select-Object -Expand Content

성공 상태 코드(2xx)와 빈 응답을 받게 됩니다.

자주 묻는 질문(FAQ)

새로 생성된 액세스 바인딩이 적용되는 데 얼마나 걸리나요?

최대 24시간이 걸릴 수 있습니다.
액세스 바인딩이 있는 그룹을 삭제하면 어떻게 되나요?

그룹과 바인딩이 삭제되고 그룹의 모든 사용자에게 액세스가 허용됩니다.
액세스 바인딩에 사용된 액세스 수준을 삭제하면 어떻게 되나요?

액세스 수준은 충족될 수 없으며 바인딩 그룹의 모든 사용자가 거부됩니다.
사용자가 액세스 바인딩이 있는 여러 그룹에 속한 경우 어떻게 되나요?

사용자는 해당 그룹 중 하나의 액세스 수준만 충족해도 액세스 권한이 부여됩니다.
내 조직에 속하지 않은 사용자는 어떻게 되나요?

조직에 속하지 않은 사용자는 컨텍스트 인식 제한사항을 적용할 사용자 그룹에 추가되더라도 액세스 바인딩이 적용되지 않습니다.

다음 단계

BeyondCorp Enterprise의 감사 로그에 대한 자세한 내용은 감사 로깅을 참조하세요.
관리자 작업에 대해 로깅되는 API 작업의 요약을 포함하여 Admin Context Manager의 감사 로깅에 대한 자세한 내용은 Access Context Manager 감사 로깅 정보를 참조하세요.