IAM으로 리소스 액세스 보안


Kubernetes 사용자 및 서비스 계정에는 Config Connector 리소스를 관리할 수 있는 권한이 필요합니다. Config Connector를 사용하면 Kubernetes 역할 기반 액세스 제어(RBAC)를 사용하는 ID로 프로젝트의 제어 영역을 관리할 수 있습니다. Identity and Access Management(IAM) 정책을 참조할 수도 있습니다.

IAMPolicy 및 IAMPolicyMember를 참조할 수 있는 리소스는 리소스 참조에 나열되어 있습니다. 이러한 리소스에는 'IAMPolicy/IAMPolicyMember에서 참조할 수 있는' 속성이 있습니다.

이 주제에서는 Identity and Access Management를 사용하여 Google Cloud 리소스에 대한 액세스를 보호하는 방법을 설명합니다.

시작하기 전에

이 페이지의 단계를 완료하려면 먼저 클러스터에 구성 커넥터를 설치합니다.

RBAC를 통한 제어 영역 액세스 보안

이 예시에서는 서비스 계정을 만들고 PubSubTopic을 관리할 수 있는 권한을 부여합니다. 이 서비스 계정은 다른 유형의 Config Connector 리소스를 관리할 수 없습니다.

  1. 다음 콘텐츠로 pubsub-topic-service-account.yaml이라는 파일을 만듭니다.

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: pubsub-topic-service-account
      namespace: default
    

    pubsub-topic-service-account 서비스 계정을 만들려면 다음을 적용합니다.

    kubectl apply -f pubsub-topic-service-account.yaml --namespace CC_NAMESPACE

    CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

  2. 다음 명령어의 결과에 no이 있는지 살펴서 pubsub-topic-service-account으로 PubSubTopic 리소스를 만들 수 없음을 확인합니다.

    kubectl auth can-i get pubsubtopics --as=system:serviceaccount:default:pubsub-topic-service-account
  3. 그 다음으로 Pub/Sub 주제 만들기를 허용하는 ClusterRole를 생성합니다.

    ClusterRole은 rules.apiGroupsrules.resources에 지정된 값이 있는 리소스만 관리할 수 있습니다. apiGroupsresources의 값을 찾으려면 리소스의 참조를 확인하세요.

    다음 콘텐츠로 pubsub-topic-editor-role.yaml라는 파일을 만듭니다.

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRole
    metadata:
      creationTimestamp: null
      name: pubsub-topic-editor
    rules:
    - apiGroups:
      - pubsub.cnrm.cloud.google.com
      resources:
      - pubsubtopics
      verbs:
      - get
      - list
      - watch
      - create
      - update
      - patch
      - delete
    

    pubsub-topic-editor.yaml을 적용하여 ClusterRole을 만듭니다.

    kubectl apply -f pubsub-topic-editor-role.yaml --namespace CC_NAMESPACE

    CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

  4. 다음으로 ClusterRole과 서비스 계정 사이에 RoleBinding을 만듭니다. 다음 콘텐츠로 pubsub-topic-editor-rolebinding.yaml이라는 파일을 만듭니다.

    apiVersion: rbac.authorization.k8s.io/v1
    kind: RoleBinding
    metadata:
      name: pubsub-topic-editor-rolebinding.
    subjects:
    - kind: ServiceAccount
      name: pubsub-topic-service-account
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: pubsub-topic-editor
    
  5. 클러스터에 pubsub-topic-editor-rolebinding.yaml을 적용합니다.

    kubectl apply -f pubsub-topic-editor-rolebinding.yaml --namespace CC_NAMESPACE

    CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

  6. 다음 명령어의 결과가 yes인지 살펴서 pubsub-topic-service-account으로 PubSubTopic 리소스를 만들 수 있음을 확인합니다.

    kubectl auth can-i get pubsubtopics \
      --as=system:serviceaccount:default:pubsub-topic-service-account

삭제

kubectl delete를 사용하여 서비스 계정, IAM 역할 및 Rolebinding을 제거합니다.

kubectl delete -f pubsub-topic-editor-rolebinding.yaml --namespace <var>CC_NAMESPACE</var>
kubectl delete -f pubsub-topic-editor-role.yaml --namespace <var>CC_NAMESPACE</var>
kubectl delete -f pubsub-topic-service-account.yaml --namespace <var>CC_NAMESPACE</var>

CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

IAM 정책으로 데이터 영역 보안

이 예시에서는 이전에 부여된 권한을 사용하여 PubSubTopic을 만들고 IAMPolicyMember 리소스로 액세스를 제한합니다.

  1. 다음 콘텐츠로 pubsub-topic-sample.yaml이라는 파일을 만듭니다.

    apiVersion: pubsub.cnrm.cloud.google.com/v1beta1
    kind: PubSubTopic
    metadata:
      name: pubsubtopic-sample
    

    kubectlpubsub-topic-sample.yaml을 적용합니다.

    kubectl apply -f pubsub-topic-sample.yaml --namespace CC_NAMESPACE

    CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

  2. 다음 콘텐츠로 iampolicymember.yaml이라는 이름의 파일을 만들어 EMAIL_ADDRESS를 Google Cloud 계정의 이메일 주소로 바꿉니다.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMPolicyMember
    metadata:
      name: iampolicymember-sample
    spec:
      resourceRef:
        apiVersion: pubsub.cnrm.cloud.google.com/v1beta1
        kind: PubSubTopic
        name: pubsubtopic-sample
      role: roles/pubsub.admin
      member: "user:EMAIL_ADDRESS"
    
  3. iampolicymember.yaml을 적용합니다.

    kubectl apply -f iampolicymember.yaml  --namespace CC_NAMESPACE 

    CC_NAMESPACE를 Config Connector가 관리하는 리소스의 네임스페이스로 바꿉니다.

  4. 이 명령어를 실행하고 결과에서 이메일 주소를 찾아 PROJECT_ID를 프로젝트 ID로 바꾸어 정책이 Google Cloud에 적용되었는지 확인합니다.

    gcloud beta pubsub topics get-iam-policy projects/PROJECT_ID/topics/pubsubtopic-sample

Pub/Sub 주제에 대한 액세스가 이제 IAMPolicyMember로 보호됩니다.

삭제

kubectl delete을 사용하여 Google Cloud 프로젝트에서 Pub/Sub 주제 및 IAMPolicyMember를 제거합니다.

kubectl delete -f iampolicymember.yaml --namespace CC_NAMESPACE
kubectl delete -f pubsub-topic-sample.yaml --namespace CC_NAMESPACE

다음 단계

보안 비밀을 사용하여 Google Cloud 리소스에 정보를 안전하게 전달합니다.