다중 영역 유니버스의 권한 제어

이 문서에서는 다중 영역 Google Distributed Cloud (GDC) 에어갭 유니버스에서 권한을 효과적으로 관리하는 방법을 설명합니다. 여러 영역에 걸쳐 있을 수 있는 리소스에 대한 액세스 권한을 유지하려면 리소스에 일관되게 적용되는 전역 권한을 구현해야 합니다. GDC는 영역 수준 액세스를 추적하고 유지관리하지 않고도 전역 권한 스키마를 제어할 수 있는 Identity and Access Management (IAM) 기능을 제공합니다.

이 문서는 GDC 유니버스에서 여러 영역에 걸쳐 있는 리소스의 액세스 제어를 개발하고 유지관리하는 플랫폼 관리자 그룹 내 IT 관리자를 대상으로 합니다.

자세한 내용은 GDC 오프라인 문서의 대상을 참고하세요.

우주를 넘나드는 액세스

GDC는 영역 및 각 영역 내 리소스에 대한 액세스를 제어하는 데 도움이 되는 여러 주요 IAM 기능을 제공합니다.

역할 관리 간소화

GDC는 모든 영역에 걸쳐 있는 IAM 역할을 자동으로 적용하고 관리할 수 있는 기본 제공 전역 권한 제어를 제공합니다. 권한을 전역으로 제어하면 각 영역에서 역할을 수동으로 적용해야 하는 분할된 사용 사례가 삭제됩니다. 역할 기반 액세스 제어(RBAC)는 기본적으로 전역이지만 필요한 경우 세부적인 영역별 권한 할당을 제공합니다.

예를 들어 프로젝트의 리소스에 액세스해야 하는 새 개발자가 있다고 가정해 보겠습니다. 프로젝트는 기본적으로 전역이므로 유니버스의 모든 영역에 걸쳐 있습니다. 각 영역에서 프로젝트에 액세스하는 데 필요한 역할을 수동으로 적용하고 유지관리하는 대신 프로젝트의 전역 액세스 역할을 적용합니다. 이 역할은 프로젝트가 있는 모든 영역에 자동으로 적용됩니다. 이제 새 개발자의 프로젝트 액세스가 유니버스와 함께 발전하며 유니버스가 성장하면 새 영역에 자동으로 전파됩니다.

GDC의 역할 바인딩에 대한 자세한 내용은 액세스 권한 부여 및 취소를 참고하세요.

한 번 로그인하고 기존 사용자 인증 정보 전파

GDC는 각 영역에 별도로 로그인하는 번거로움 없이 유니버스에서 사용자를 인증하는 작업을 간소화하는 ID 공급업체 (IdP)를 제공합니다. IdP는 사용자 ID를 중앙에서 관리하고 보호하여 인증 서비스를 제공하는 시스템입니다. 기존 IdP에 연결하면 사용자가 GDC 내에서 별도의 계정을 만들거나 관리할 필요 없이 조직의 사용자 인증 정보를 사용하여 GDC에 액세스할 수 있습니다. IdP는 기본적으로 여러 영역에 걸쳐 구성된 전역 리소스이므로 작업하는 영역과 관계없이 동일한 IdP를 통해 GDC에 액세스할 수 있습니다. GDC의 IDP에 대한 자세한 내용은 ID 공급업체에 연결을 참고하세요.

전역 워크로드 및 서비스 권한 제어

인간 사용자가 IdP를 사용하여 여러 영역에서 인증을 간소화하는 것과 마찬가지로 워크로드와 서비스도 서비스 계정을 사용하여 유니버스에서 전역 인증을 활용할 수 있습니다. 서비스 계정은 워크로드와 서비스가 리소스를 프로그래매틱 방식으로 사용하고 마이크로서비스에 안전하게 액세스하는 데 사용하는 계정입니다. 서비스 계정은 기본적으로 여러 영역에 걸쳐 있도록 구성된 전역 리소스이므로 워크로드와 서비스는 단일 전역 권한 집합으로 유니버스에 걸쳐 있는 리소스에 균일하게 액세스할 수 있습니다.

예를 들어 연결된 스토리지 볼륨이 있는 VM이 있다고 가정해 보겠습니다. 볼륨은 두 영역에 걸쳐 있을 수 있으므로 VM이 볼륨에 액세스하도록 허용하려면 볼륨이 있는 모든 영역에 액세스 권한이 있어야 합니다. 전역 서비스 계정을 사용하면 스토리지 볼륨에 대한 VM 액세스 권한을 한 번만 제공하면 되며, 이 권한은 볼륨이 있는 모든 영역으로 전파됩니다. 이 기능을 사용하면 영역별 액세스를 관리하지 않고도 범용 규모로 액세스를 구성할 수 있습니다.

GDC의 서비스 계정에 대한 자세한 내용은 서비스 계정으로 인증을 참고하세요.

다음 단계