이 문서에서는 Privileged Access Manager를 사용하여 Identity and Access Management(IAM)로 적시 임시 권한 승격을 제어하는 방법에 관한 권장사항을 설명합니다.
IAM 정책 크기 관리
Privileged Access Manager는 리소스의 정책에 조건부 IAM 역할 바인딩을 추가하여 기한이 있는 액세스 권한을 부여합니다. 활성 상태인 각 Privileged Access Manager 권한 부여는 공간을 소비하며 표준 IAM 정책 크기 한도에 따라 계산됩니다. 자세한 내용은 IAM 할당량 및 한도를 참조하세요.
리소스의 IAM 정책이 최대 크기에 도달하면 정책에서 여유 공간을 확보할 때까지 해당 리소스에 대한 새 Privileged Access Manager 권한 부여 요청이 실패합니다.
IAM 정책 크기 한도에 근접했거나 한도에 도달한 경우 다음을 수행할 수 있습니다.
기존 권한 부여 취소
더 이상 필요하지 않은 활성 Privileged Access Manager 권한 부여를 취소하여 정책에서 해당 IAM 바인딩을 삭제하고 여유 공간을 확보합니다. 자세한 내용은 권한 부여 취소를 참조하세요.
Privileged Access Manager 설정 최적화
Privileged Access Manager 사용 권한을 최적화하고 각 권한 부여가 IAM 정책에서 사용하는 공간을 줄이려면 다음을 수행하세요.
사용 권한 내에서 역할을 통합합니다.
- 여러 사전 정의된 역할을 더 적은 수의 커스텀 역할로 통합하여 사용 공간을 줄입니다.
- 여러 서비스별 리더 역할 대신 더 광범위한 단일 역할(예:
roles/reader)을 사용합니다. - 중복된 역할과 겹치는 권한을 삭제합니다. 예를 들어
Role A의 모든 권한이Role B에도 포함되어 있다면 사용 권한에서Role A를 삭제합니다.
IAM 조건의 수와 복잡성을 줄입니다.
OR조건에서 여러 리소스 이름 목록을 사용하는 경우 대신 태그 조건을 사용하는 것이 좋습니다.- 범위 맞춤설정을 사용하는 권한 부여의 경우 리소스 이름 기반 필터를 사용하지 마세요.
필요한 최소 범위에서 액세스 권한을 부여합니다.
최소 권한의 원칙에 따라 Privileged Access Manager 사용 권한을 설정하여 가능한 가장 좁은 범위에서 액세스 권한을 부여합니다. 예를 들어 사용자가 프로젝트의 단일 Cloud Storage 버킷에만 액세스해야 하는 경우 전체 프로젝트, 폴더 또는 조직 대신 해당 버킷에 대한 액세스 권한을 부여합니다.