액세스 변경 전파

IAM에서는 역할 부여 또는 권한 거부와 같은 액세스 변경사항이 eventual consistency를 갖습니다. 즉, 시스템을 통한 액세스 변경에 시간이 걸립니다. 그동안 최신 액세스 변경사항은 모든 곳에 적용되지 않을 수 있습니다. 예를 들어 주 구성원이 최근에 취소된 역할 또는 최근에 거부된 권한을 계속 사용할 수 있습니다. 또는 최근에 부여된 역할이나 최근까지 사용이 거부된 권한을 사용하지 못할 수도 있습니다.

액세스 변경사항이 적용되는 데 걸리는 시간은 액세스 변경 방법에 따라 다릅니다.

방법 예 전파 시간

방법	예	전파 시간
정책 변경 허용 또는 거부 정책을 수정하여 주 구성원의 액세스 권한을 변경합니다. 정책을 변경할 때는 정책에서 허용되는 주 구성원 수 한도를 초과할 수 없습니다.	조직의 허용 정책을 수정하여 주 구성원에게 조직 관리자 역할(`roles/resourcemanager.organizationAdmin`)을 부여합니다. 조직 수준 거부 정책을 수정하여 주 구성원의 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 권한을 거부합니다.	일반적으로 2분(7분 이상 걸릴 수 있음)
그룹 멤버십 변경 허용 또는 거부 정책에 포함된 Google 그룹에서 주 구성원을 추가하거나 삭제하여 액세스 권한을 변경합니다.	조직에 조직 관리자 역할이 부여된 `org-admins@example.com` 그룹이 있습니다. 그룹에 주 구성원을 추가하여 조직 관리자 역할을 부여합니다. 조직 수준에서 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 권한이 거부된 `eng@example.com` 그룹이 있습니다. 그룹에 주 구성원을 추가하여 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 권한을 거부합니다.	일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)
중첩된 그룹의 멤버십 변경 상위 그룹이 허용 또는 거부 정책에 포함된 중첩된 그룹에서 주 구성원을 추가하거나 삭제하여 주 구성원의 액세스 권한을 변경합니다.	조직에 태그 뷰어 역할(`roles/resourcemanager.tagViewer`)이 부여된 `admins@example.com` 그룹이 있습니다. 이 그룹의 멤버십은 `org-admins@example.com`을 비롯한 다른 여러 그룹으로 구성되어 있습니다. `org-admins@example.com` 그룹에 주 구성원을 추가하여 태그 뷰어 역할을 부여합니다. 조직 수준에서 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 권한이 거부된 `eng@example.com` 그룹이 있습니다. 이 그룹의 멤버십은 `eng-prod@example.com`을 비롯한 다른 여러 그룹으로 구성됩니다. `eng-prod@example.com` 그룹에 주 구성원을 추가하여 `cloudresourcemanager.googleapis.com/projects.setIamPolicy` 권한을 거부합니다.	일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)

정책 변경

허용 또는 거부 정책을 수정하여 주 구성원의 액세스 권한을 변경합니다.

정책을 변경할 때는 정책에서 허용되는 주 구성원 수 한도를 초과할 수 없습니다.

조직의 허용 정책을 수정하여 주 구성원에게 조직 관리자 역할(roles/resourcemanager.organizationAdmin)을 부여합니다.
조직 수준 거부 정책을 수정하여 주 구성원의 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.

일반적으로 2분(7분 이상 걸릴 수 있음)

그룹 멤버십 변경

허용 또는 거부 정책에 포함된 Google 그룹에서 주 구성원을 추가하거나 삭제하여 액세스 권한을 변경합니다.

조직에 조직 관리자 역할이 부여된 org-admins@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 조직 관리자 역할을 부여합니다.
조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.

일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)

중첩된 그룹의 멤버십 변경

상위 그룹이 허용 또는 거부 정책에 포함된 중첩된 그룹에서 주 구성원을 추가하거나 삭제하여 주 구성원의 액세스 권한을 변경합니다.

조직에 태그 뷰어 역할(roles/resourcemanager.tagViewer)이 부여된 admins@example.com 그룹이 있습니다. 이 그룹의 멤버십은 org-admins@example.com을 비롯한 다른 여러 그룹으로 구성되어 있습니다. org-admins@example.com 그룹에 주 구성원을 추가하여 태그 뷰어 역할을 부여합니다.
조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 이 그룹의 멤버십은 eng-prod@example.com을 비롯한 다른 여러 그룹으로 구성됩니다. eng-prod@example.com 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.

일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)

또한 그룹 멤버십 변경 전파 방법은 다음 세부정보에 유의하세요.

일반적으로 그룹에 주 구성원을 추가하면 그룹에서 주 구성원을 삭제하는 것보다 빠르게 전파됩니다.
일반적으로 그룹 멤버십 변경사항은 중첩된 그룹 멤버십 변경보다 더 빠르게 전파됩니다.

이러한 전파 시간 추정값을 사용하여 주 구성원의 액세스 권한을 수정하는 방법을 알릴 수 있습니다.