Privileged Access Manager(PAM)를 사용하여 일부 주 구성원의 적시 임시 권한 승격을 제어하고 나중에 감사 로그를 보고 누가 언제 무엇에 액세스했는지 확인할 수 있습니다.
임시 승격을 허용하려면 Privileged Access Manager에 사용 권한을 만들고 다음 속성을 추가합니다.
사용 권한에 대한 권한 부여를 요청할 수 있는 주 구성원 집합입니다.
해당 권한 부여에 근거가 필요한지 여부입니다.
권한 부여가 지속될 수 있는 최대 기간입니다.
선택사항: 요청에 일부 주 구성원 집합의 승인이 필요한지와 해당 주 구성원이 승인에 대한 근거를 제공해야 하는지 여부입니다.
선택사항: 권한 부여 및 대기 중인 승인과 같은 중요한 이벤트에 대한 알림을 받을 추가 이해관계자입니다.
사용 권한에 요청자로 추가된 주 구성원은 해당 사용 권한에 대해 권한 부여를 요청할 수 있습니다. 성공하면 권한 부여 기간이 끝날 때까지 사용 권한에 나열된 역할이 부여되고 그 후에는 Privileged Access Manager에서 역할을 취소합니다.
사용 사례
Privileged Access Manager를 효과적으로 사용하려면 먼저 조직의 니즈를 해결할 수 있는 특정 사용 사례와 시나리오를 파악합니다. 이러한 사용 사례와 필수 요구사항 및 제어를 기반으로 Privileged Access Manager 사용 권한을 조정합니다. 여기에는 필요한 사유 및 승인과 함께 관련 사용자, 역할, 리소스, 기간을 매핑하는 것이 포함됩니다.
Privileged Access Manager는 영구 권한이 아닌 임시 권한을 부여하기 위한 일반적인 권장사항으로 사용될 수 있지만 다음과 같이 일부 시나리오에서는 일반적으로 사용될 수 있습니다.
긴급 액세스 권한 부여: 일부 긴급 구조원이 승인을 기다릴 필요 없이 중요한 태스크를 수행하도록 허용합니다. 추가 컨텍스트를 얻기 위해 긴급 액세스 권한이 필요한 이유에 대한 근거를 요구할 수 있습니다.
민감한 리소스에 대한 액세스 권한 제어: 승인 및 비즈니스 근거를 요구하여 민감한 리소스에 대한 액세스 권한을 엄격하게 제어합니다. Privileged Access Manager는 이 액세스 권한이 사용된 방식을 감사하는 데도 사용될 수 있습니다(예: 사용자에게 부여된 역할이 활성화된 시점, 해당 시간에 액세스할 수 있었던 리소스, 액세스 권한 근거, 승인한 사람).
예를 들어 Privileged Access Manager를 사용하여 다음을 수행할 수 있습니다.
문제 해결 또는 배포를 위해 개발자에게 프로덕션 환경에 대한 임시 액세스 권한을 부여합니다.
특정 태스크를 위해 지원 엔지니어에게 민감한 고객 데이터에 대한 액세스 권한을 부여합니다.
유지보수 또는 구성 변경을 위해 데이터베이스 관리자에게 승격된 권한을 부여합니다.
서비스 계정 보호 지원: 서비스 계정에 역할을 영구 부여하는 대신 서비스 계정이 자동화된 태스크에 필요한 경우에만 역할을 자체 승격하고 수임하도록 허용합니다.
계약업체 및 외부 인력에 대한 액세스 권한 관리: 계약업체 또는 외부 인력에게 리소스에 대한 한시적인 임시 액세스 권한을 부여합니다(승인 및 근거 필요).
기능 및 제한사항
다음 섹션에서는 Privileged Access Manager의 다양한 기능과 제한사항을 설명합니다.
지원되는 리소스
Privileged Access Manager는 프로젝트, 폴더, 조직에 대한 사용 권한을 만들고 권한 부여를 요청할 수 있습니다. 프로젝트, 폴더 또는 조직 내 리소스의 하위 집합에 대한 액세스 권한을 제한하려면 IAM 조건을 사용 권한에 추가하면 됩니다. Privileged Access Manager는 리소스 태그를 제외한 모든 조건 속성을 지원합니다.
지원되는 역할
Privileged Access Manager는 사전 정의된 역할과 커스텀 역할을 지원합니다. 기본 역할은 지원되지 않습니다.
지원되는 ID
Privileged Access Manager는 Cloud ID, 직원 ID 제휴, 워크로드 아이덴티티 제휴를 포함한 모든 유형의 ID를 지원합니다.
감사 로깅
사용 권한 생성, 요청 또는 권한 부여 검토와 같은 Privileged Access Manager 이벤트는 Cloud 감사 로그에 로깅됩니다. Privileged Access Manager에서 로그를 생성하는 이벤트의 전체 목록은 Privileged Access Manager 감사 로깅 문서를 참조하세요. 이러한 로그를 보는 방법은 Privileged Access Manager에서 사용 권한 및 권한 부여 이벤트 감사를 참조하세요.
권한 부여 보관
권한 부여는 거부, 취소, 만료 또는 종료된 지 30일 후에 Privileged Access Manager에서 자동으로 삭제됩니다. 권한 부여 로그는 _Required
버킷의 로그 보관 기간 동안 Cloud 감사 로그에 보관됩니다.
이러한 로그를 보는 방법은 Privileged Access Manager에서 사용 권한 및 권한 부여 이벤트 감사를 참조하세요.
Privileged Access Manager 및 IAM 정책 수정
Privileged Access Manager는 리소스의 IAM 정책에서 역할 바인딩을 추가 및 삭제하여 임시 액세스 권한을 관리합니다. 이러한 역할 바인딩이 Privileged Access Manager 이외에서 수정되면 Privileged Access Manager가 예상대로 작동하지 않을 수 있습니다.
이 문제를 방지하려면 다음을 수행하는 것이 좋습니다.
- Privileged Access Manager에서 관리하는 역할 바인딩을 수동으로 수정하지 마세요.
- Terraform을 사용하여 IAM 정책을 관리하는 경우 신뢰할 수 있는 리소스 대신 신뢰할 수 없는 리소스를 사용해야 합니다. 이렇게 하면 선언적 IAM 정책 구성에 역할 바인딩이 없더라도 Terraform에서 Privileged Access Manager 역할 바인딩을 재정의하지 않습니다.
알림
Privileged Access Manager는 다음 섹션에 설명된 대로 Privileged Access Manager에서 발생하는 다양한 이벤트를 알릴 수 있습니다.
이메일 알림
Privileged Access Manager는 사용 권한 및 권한 부여 변경사항에 대한 이메일 알림을 관련 이해관계자에게 전송합니다. 수신자는 다음과 같습니다.
자격 요건을 충족하는 사용 권한 요청자:
- 사용 권한에서 요청자로 지정된 Cloud ID 사용자 및 그룹의 이메일 주소
- 사용 권한에서 수동으로 구성된 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 사용 권한의 추가 알림 섹션에 있는 사용 가능한 사용 권한에 대한 알림 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소가
requesterEmailRecipients
필드에 나열됩니다.
사용 권한 부여 승인자:
- 사용 권한에서 승인자로 지정된 Cloud ID 사용자 및 그룹의 이메일 주소입니다.
- 사용 권한에서 수동으로 구성된 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 사용 권한의 추가 알림 섹션에 있는 권한 부여에서 승인을 대기 중일 때 알림 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소는 승인 워크플로 단계의
approverEmailRecipients
필드에 나열됩니다.
사용 권한 관리자:
- 사용 권한에서 수동으로 구성된 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 사용 권한의 추가 알림 섹션에 있는 액세스 권한이 부여되면 알림 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소가
adminEmailRecipients
필드에 나열됩니다.
- 사용 권한에서 수동으로 구성된 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 사용 권한의 추가 알림 섹션에 있는 액세스 권한이 부여되면 알림 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소가
권한 부여 요청자:
- 권한 부여 요청자가 Cloud ID 사용자인 경우 권한 부여 요청자의 이메일 주소입니다.
- 권한 부여를 요청하는 동안에 요청자가 추가한 이메일 주소: Google Cloud 콘솔을 사용하는 경우 이러한 이메일 주소는 이 권한 부여에 대한 업데이트를 받을 이메일 주소 필드에 나열됩니다. gcloud CLI 또는 REST API를 사용하는 경우 이러한 이메일 주소가
additionalEmailRecipients
필드에 나열됩니다.
Privileged Access Manager는 다음 이벤트에 대한 이메일을 이러한 이메일 주소로 전송합니다.
수신자 | 이벤트 |
---|---|
자격 요건을 충족하는 사용 권한 요청자 | 사용 권한이 생성되고 사용할 수 있게 되는 경우 |
사용 권한 부여 승인자 | 권한 부여가 요청되었으며 승인이 필요한 경우 |
권한 부여 요청자 |
|
사용 권한 관리자 |
|
Pub/Sub 알림
Privileged Access Manager는 Cloud 애셋 인벤토리와 통합됩니다.
Cloud 애셋 인벤토리 피드 기능을 사용하여 Pub/Sub를 통해 모든 권한 변경사항에 대한 알림을 수신할 수 있습니다. 권한 부여에 사용할 수 있는 애셋 유형은 privilegedaccessmanager.googleapis.com/Grant
입니다.