조건부 정책 관리

이 주제에서는 Cloud Identity and Access Management(Cloud IAM) 정책에서 조건부 binding을 추가, 수정, 삭제하는 방법을 설명합니다.

시작하기 전에

  • Cloud IAM 조건부 정책의 기본 사항을 이해하려면 Cloud IAM 조건 개요를 읽어보세요.
  • 표현식에 사용할 수 있는 여러 조건 속성에 대해 알아보려면 속성 참조를 검토하세요.

정책에 조건부 역할 binding 추가

조건부 역할 binding을 새 Cloud IAM 또는 기존 Cloud IAM 정책에 추가하여 Google Cloud 리소스에 대한 액세스를 추가로 제어할 수 있습니다. 이 섹션에서는 Cloud Console, gcloud 명령줄 도구, REST API를 사용하여 간단한 시간 기반 조건을 추가하는 방법을 보여줍니다.

기존 정책에 조건부 역할 binding을 추가하려면 다음 안내를 따르세요.

Console

  1. Cloud Console에서 IAM 페이지를 엽니다.

    IAM 페이지 열기

  2. 프로젝트 선택을 클릭하고 프로젝트를 선택한 후 열기를 클릭합니다.
  3. 구성원 목록에서 원하는 구성원을 찾아 버튼을 클릭합니다.
  4. 권한 수정 패널에서 조건을 구성할 역할을 찾습니다. 그런 다음 조건에서 조건 추가를 클릭합니다.
  5. 조건 수정 패널에서 조건의 제목 및 설명(선택사항)을 입력합니다.
  6. 조건 빌더 또는 조건 편집기를 사용하여 조건 표현식을 추가할 수 있습니다. 조건 빌더에서는 표현식에 대해 원하는 조건 유형, 연산자, 기타 적용 가능한 세부정보를 선택할 수 있는 대화형 인터페이스를 제공합니다. 조건 편집기에서는 CEL 구문을 사용하여 표현식을 수동으로 입력하는 텍스트 기반 인터페이스를 제공합니다.

    조건 빌더:

    1. 조건 유형 드롭다운에서 만료되는 액세스를 선택합니다.
    2. 연산자 드롭다운에서 기한을 선택합니다.
    3. 시간 드롭다운에서 버튼을 클릭하여 날짜 및 시간 범위를 선택합니다.
    4. 저장을 클릭하여 조건을 적용합니다.
    5. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 Cloud IAM 정책을 업데이트합니다.

    조건 편집기:

    1. 조건 편집기 탭을 클릭하고 타임스탬프를 직접 바꿔 다음 표현식을 입력합니다.

      request.time < timestamp("2019-12-31T12:00:00.000Z")
    2. 표현식을 입력한 후 오른쪽 상단 텍스트 상자 위에 있는 린터 실행을 클릭하여 CEL 구문의 유효성을 검사할 수도 있습니다.
    3. 저장을 클릭하여 조건을 적용합니다.
    4. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 Cloud IAM 정책을 업데이트합니다.

gcloud 명령어

Cloud IAM 정책은 읽기-수정-쓰기 패턴을 사용하여 설정됩니다.

gcloud projects get-iam-policy 명령어를 실행하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다. 다음 예시에서는 정책의 JSON 버전이 디스크의 경로로 다운로드됩니다.

명령어:

gcloud projects get-iam-policy [PROJECT-ID] --format json > [FILE-PATH]

Cloud IAM 정책의 JSON 형식이 다운로드됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/iam.securityReviewer"
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 1
    }

정책의 현재 version1입니다. 만료되는 액세스 권한이 있는 정책을 구성하려면 타임스탬프를 직접 바꿔 다음 강조표시된 조건 표현식을 추가합니다. 버전 263.0.0 이상의 gcloud 도구를 사용하지 않는 경우 version 값을 3으로 업데이트했는지 확인합니다. 최신 버전의 gcloud 도구를 사용하는 경우 최대 정책 값이 자동으로 설정됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/iam.securityReviewer",
          "condition": {
              "title": "Expires_2019",
              "description": "Expires at noon on 2019-12-31",
              "expression":
                "request.time < timestamp('2019-12-31T12:00:00Z')"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

다음으로 gcloud projects set-iam-policy 명령어를 실행하여 새 조건부 정책을 설정합니다.

gcloud projects set-iam-policy [PROJECT-ID] [FILE-PATH]

새 조건부 정책이 적용되고 example@gmail.com의 역할 binding은 지정된 시간에 만료됩니다.

REST API

projects.getIamPolicy()를 호출하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:getIamPolicy

요청 본문은 다음과 같이 설정되어 있습니다.

{
      "options": {
        "requestedPolicyVersion": 3
      }
    }

응답 본문에는 프로젝트의 Cloud IAM 정책이 포함됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/iam.securityReviewer"
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 1
    }

정책의 현재 version1입니다. 만료되는 액세스 권한이 있는 정책을 구성하려면 타임스탬프를 직접 바꿔 다음 강조표시된 조건 표현식을 추가합니다. 조건에 대한 버전 요구사항을 따르려면 version 값을 3으로 업데이트했는지 확인합니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/iam.securityReviewer",
          "condition": {
              "title": "Expires_2019",
              "description": "Expires at noon on 2019-12-31",
              "expression":
                "request.time < timestamp('2019-12-31T12:00:00Z')"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

projects.setIamPolicy()를 호출하여 요청 본문에 업데이트된 정책을 포함해 프로젝트의 새 조건부 Cloud IAM 정책을 설정합니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:setIamPolicy

응답으로 업데이트된 정책이 반환됩니다.

기존 조건부 역할 binding 수정

조건부 역할 binding을 만든 후에는 언제든지 조건 표현식을 변경할 수 있습니다. 이 섹션에서는 Cloud Console, gcloud 명령줄 도구, REST API를 사용하여 시간 기반 조건을 업데이트하는 방법을 보여줍니다.

기존 정책에서 조건부 역할 binding을 수정하려면 다음 안내를 따르세요.

Console

  1. Cloud Console에서 IAM 페이지를 엽니다.

    IAM 페이지 열기

  2. 프로젝트 선택을 클릭하고 프로젝트를 선택한 후 열기를 클릭합니다.
  3. 구성원 목록에서 원하는 구성원을 찾아 버튼을 클릭합니다.
  4. 권한 수정 패널에서 조건을 구성할 역할을 찾습니다. 그런 다음 조건에서 수정할 기존 조건의 이름을 클릭합니다.
  5. 조건 수정 패널에서 조건의 기존 제목 및 설명을 유지하거나 업데이트할 수 있습니다.
  6. 조건 빌더 또는 조건 편집기를 사용하여 기존 조건 표현식을 수정하거나 새 조건 표현식을 추가할 수 있습니다. 조건 빌더에서는 표현식에 대해 원하는 조건 유형, 연산자, 기타 적용 가능한 세부정보를 선택할 수 있는 대화형 인터페이스를 제공합니다. 조건 편집기에서는 CEL 구문을 사용하여 표현식을 수동으로 입력하는 텍스트 기반 인터페이스를 제공합니다.

    조건 빌더:

    1. 새 조건 표현식을 추가하거나 기존 조건 표현식을 수정합니다.
    2. 저장을 클릭하여 조건을 적용합니다.
    3. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 Cloud IAM 정책을 업데이트합니다.

    조건 편집기:

    1. 조건 편집기 탭을 클릭하고 새 조건 표현식을 추가하거나 기존 조건 표현식을 수정합니다.
    2. 표현식을 입력한 후 오른쪽 상단 텍스트 상자 위에 있는 린터 실행을 클릭하여 CEL 구문의 유효성을 검사할 수도 있습니다.
    3. 저장을 클릭하여 조건을 적용합니다.
    4. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 Cloud IAM 정책을 업데이트합니다.

gcloud 명령어

Cloud IAM 정책은 읽기-수정-쓰기 패턴을 사용하여 설정됩니다.

gcloud projects get-iam-policy 명령어를 실행하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다. 다음 예시에서는 정책의 JSON 버전이 디스크의 경로로 다운로드됩니다.

명령어:

gcloud projects get-iam-policy [PROJECT-ID] --format json > [FILE-PATH]

Cloud IAM 정책의 JSON 형식이 다운로드됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          "condition": {
              "title": "Duration_3_months",
              "description": "Expires in 3 months on 2019-10-12",
              "expression":
                "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") &&
                request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

이 예시에서는 표현식의 title, description, 타임스탬프 값을 업데이트하여 예약된 액세스 조건의 지속 시간을 변경합니다. 값을 직접 대체하여 다음의 강조표시된 조건 부분을 업데이트합니다. 버전 263.0.0 이상의 gcloud 도구를 사용하지 않는 경우 version 값을 3으로 업데이트했는지 확인합니다. 최신 버전의 gcloud 도구를 사용하는 경우 최대 정책 값이 자동으로 설정됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          
          "condition": {
              "title": "Duration_5_months",
              "description": "Expires in 5 months on 2020-01-12",
              "expression":
                "request.time > timestamp('2019-07-12T07:00:00.000Z') &&
                request.time < timestamp('2020-01-12T07:00:00.000Z')"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

다음으로 gcloud projects set-iam-policy 명령어를 실행하여 새 조건부 정책을 설정합니다.

gcloud projects set-iam-policy [PROJECT-ID] [FILE-PATH]

업데이트된 조건부 정책이 적용되고 example@gmail.com의 역할 binding이 새로 설정된 시간에 만료됩니다.

REST API

projects.getIamPolicy()를 호출하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:getIamPolicy

요청 본문은 다음과 같이 설정되어 있습니다.

{
      "options": {
        "requestedPolicyVersion": 3
      }
    }

응답 본문에는 프로젝트의 Cloud IAM 정책이 포함됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          "condition": {
              "title": "Duration_3_months",
              "description": "Expires in 3 months on 2019-10-12",
              "expression":
                "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") &&
                request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

이 예시에서는 타임스탬프 값을 업데이트하여 예약된 액세스 조건의 지속 시간을 변경합니다. 타임스탬프를 직접 바꿔 다음의 강조표시된 조건 표현식 부분을 업데이트합니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          "condition": {
              "title": "Duration_5_months",
              "description": "Expires in 5 months on 2020-01-12",
              
              "expression":
                "request.time > timestamp('2019-07-12T07:00:00.000Z') &&
                request.time < timestamp('2020-01-12T07:00:00.000Z')"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

projects.setIamPolicy()를 호출하여 요청 본문에 업데이트된 정책을 포함해 프로젝트의 업데이트된 조건부 Cloud IAM 정책을 설정합니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:setIamPolicy

응답에 업데이트된 정책이 포함됩니다.

조건부 역할 binding 삭제

Cloud IAM 정책에서 조건부 역할 binding을 삭제하면 리소스에 대한 액세스 범위가 역할 binding으로만 지정됩니다. 이 섹션에서는 Cloud Console, gcloud 명령줄 도구, REST API를 이용하여 정책에서 시간 기반 조건을 삭제하는 방법을 보여줍니다.

정책의 역할 binding에서 조건을 삭제하려면 다음 안내를 따르세요.

Console

  1. Cloud Console에서 IAM 페이지를 엽니다.

    IAM 페이지 열기

  2. 프로젝트 선택을 클릭하고 프로젝트를 선택한 후 열기를 클릭합니다.
  3. 구성원 목록에서 원하는 구성원을 찾아 버튼을 클릭합니다.
  4. 권한 수정 패널에서 원하는 역할 binding을 찾습니다. 그런 다음 조건에서 기존 조건의 이름을 클릭합니다.
  5. 조건 수정 패널에서 버튼을 클릭하여 조건을 삭제합니다. 조건을 삭제할 것인지 확인하라는 메시지가 표시됩니다.
  6. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 Cloud IAM 정책을 업데이트합니다.

gcloud 명령어

Cloud IAM 정책은 읽기-수정-쓰기 패턴을 사용하여 설정됩니다.

gcloud projects get-iam-policy 명령어를 실행하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다. 다음 예시에서는 정책의 JSON 버전이 디스크의 경로로 다운로드됩니다.

명령어:

gcloud projects get-iam-policy [PROJECT-ID] --format json > [FILE-PATH]

Cloud IAM 정책의 JSON 형식이 다운로드됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          "condition": {
              "title": "Duration_3_months",
              "description": "Expires in 3 months on 2019-10-12",
              "expression":
                "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") &&
                request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

정책에서 조건부 역할 binding을 삭제하려면 아래 표시된 대로 condition 블록을 삭제합니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

비조건부 역할 binding에는 정책 버전 1만 필요하지만 version은 여전히 3으로 설정되어 있습니다. 정책을 설정할 때는 조건부 역할 binding과 비조건부 역할 binding 모두에 항상 가장 높은 정책 버전 번호를 사용하는 것이 좋습니다. 자세한 내용은 버전 요구사항을 참조하세요. gcloud 도구의 버전 263.0.0 이상을 사용 중인 경우 최신 정책 버전이 업데이트됩니다.

다음으로 gcloud projects set-iam-policy 명령어를 실행하여 업데이트된 정책을 설정합니다.

gcloud projects set-iam-policy [PROJECT-ID] [FILE-PATH]

example@gmail.com의 조건부 역할 binding을 삭제하면 업데이트된 정책이 적용됩니다. 역할 binding이 더 이상 만료되지 않습니다.

REST API

projects.getIamPolicy()를 호출하여 프로젝트의 현재 Cloud IAM 정책을 가져옵니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:getIamPolicy

요청 본문은 다음과 같이 설정되어 있습니다.

{
      "options": {
        "requestedPolicyVersion": 3
      }
    }

응답 본문에는 프로젝트의 Cloud IAM 정책이 포함됩니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
          "condition": {
              "title": "Duration_3_months",
              "description": "Expires in 3 months on 2019-10-12",
              "expression":
                "request.time > timestamp(\"2019-07-12T07:00:00.000Z\") &&
                request.time < timestamp(\"2019-10-12T07:00:00.000Z\")"
          }
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

정책에서 조건부 역할 binding을 삭제하려면 아래 표시된 대로 condition 블록을 삭제합니다.

{
      "bindings": [
        {
          "members": [
            "user:example@gmail.com"
          ],
          "role": "roles/bigquery.dataViewer",
        }
      ],
      "etag": "BwWKmjvelug=",
      "version": 3
    }

비조건부 역할 binding에는 정책 버전 1만 필요하지만 version은 여전히 3으로 설정되어 있습니다. 정책을 설정할 때는 조건부 역할 binding과 비조건부 역할 binding 모두에 항상 가장 높은 정책 버전 번호를 사용하는 것이 좋습니다. 자세한 내용은 버전 요구사항을 참조하세요.

projects.setIamPolicy()를 호출하여 요청 본문에 업데이트된 정책을 포함해 프로젝트의 업데이트된 Cloud IAM 정책을 설정합니다.

POST https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT-ID]:setIamPolicy

응답으로 조건부 binding이 포함되지 않은 업데이트 정책이 표시됩니다.