권한 오류 메시지 문제 해결하기

이 문서에서는 리소스에 필요한 액세스 권한이 없는 경우 발생할 수 있는 오류 메시지를 다루고 이러한 오류를 해결하는 방법을 설명합니다.

권한 오류 메시지

Google Cloud 콘솔, Google Cloud CLI, REST API는 액세스 권한이 없는 리소스에 액세스하려고 할 때 오류 메시지를 표시합니다.

이러한 오류 메시지는 다음 중 하나로 인해 발생할 수 있습니다.

• 필요한 권한이 없습니다. 허용 정책 역할 바인딩 또는 필요한 권한이 있는 역할에 대한 활성 Privileged Access Manager 사용 권한 사용 권한이 있어야 합니다. 필요한 권한이 없으면Google Cloud 에 오류 메시지가 표시됩니다.

• 액세스를 차단하는 거부 정책이 있습니다. 거부 정책으로 인해 필요한 권한을 사용하지 못하면 Google Cloud 에 오류 메시지가 표시됩니다.

• 리소스에 액세스할 수 없습니다. 주 구성원 액세스 경계 정책이 적용되는 경우 액세스하려는 리소스가 정책의 주 구성원 액세스 경계 규칙에 포함되어야 합니다. 그렇지 않으면 Google Cloud 오류 메시지가 표시됩니다.

• 리소스가 존재하지 않습니다. 리소스가 없으면Google Cloud 에 오류 메시지가 표시됩니다.

다음 섹션에서는Google Cloud 콘솔, gcloud CLI, REST API에서 이러한 오류 메시지가 어떻게 표시되는지 보여줍니다.

Google Cloud 콘솔 오류 메시지

Google Cloud 콘솔에서 오류 메시지는 다음과 유사합니다.

이 오류 메시지에는 다음 정보가 포함됩니다.

• 액세스를 시도한 리소스: 리소스 이름은 오류 페이지의 제목에 표시되며 권한 오류가 발생했을 때 액세스를 시도한 리소스를 나타냅니다.
• 누락된 필수 권한: 리소스에 액세스하는 데 필요한 권한 목록입니다.

• 필수 권한이 포함된 역할이 있는 Privileged Access Manager 사용 권한 목록: 이 목록은 완전하지 않습니다. 액세스 문제를 해결하기 위해 Google Cloud 에서 제안하는 상위 사용 권한만 포함되어 있습니다.

  이 목록은 추가 IAM 역할을 부여하여 해결할 수 있는 권한 오류에만 사용할 수 있습니다.

  사용 권한을 클릭하여 사용 권한에 대해 자세히 알아보고 사용 권한에 대한 권한 부여를 요청할 수 있습니다. 자세한 내용은 이 문서의 Privileged Access Manager 액세스 권한 부여 요청을 참고하세요.

  필요한 권한이 포함된 권한이 없으면 오류 메시지 페이지에 권한 목록이 포함되지 않습니다.

• 필요한 권한이 포함된 IAM 역할 목록: 이 목록은 전체 목록이 아닙니다. 액세스 문제를 해결하기 위해Google Cloud 에서 제안하는 역할의 선별된 목록이 포함되어 있습니다. 순서는 역할, 서비스 관련성, 권한 수에 따라 허용되는 작업 유형을 기준으로 합니다.

  역할을 부여하는 데 필요한 권한이 있는 경우 이 섹션의 제목은 부여할 역할 선택입니다. 필요한 권한이 없으면 이 섹션의 제목이 특정 역할 요청으로 표시됩니다.

  이 목록은 추가 IAM 역할을 부여하여 해결할 수 있는 권한 오류에만 사용할 수 있습니다.

  역할을 클릭하여 역할에 대해 자세히 알아보고 역할 부여를 요청할 수 있습니다. 역할을 부여하는 데 필요한 권한이 있는 경우 요청하는 대신 직접 역할을 부여할 수 있습니다.

Google Cloud CLI 및 REST API 오류 메시지

오류 메시지의 정확한 문구는 실행하는 명령어에 따라 다릅니다. 하지만 일반적으로 다음 정보가 포함됩니다.

• 필요한 권한
• 작업을 수행하려고 한 리소스
• 인증 계정

예를 들어 프로젝트의 버킷을 나열할 권한이 없으면 다음과 같은 오류 메시지가 표시됩니다.

ERROR: (gcloud.storage.buckets.list) HTTPError 403:
EMAIL_ADDRESS does not have
storage.buckets.list access to the Google Cloud project. Permission
'storage.buckets.list' denied on resource (or it may not exist). This command
is authenticated as EMAIL ADDRESS which
is the active account specified by the [core/account] property.

{
  "error": {
    "code": 403,
    "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
    "errors": [
      {
        "message": "EMAIL ADDRESS does not have storage.buckets.list access to the Google Cloud project. Permission 'storage.buckets.list' denied on resource (or it may not exist).",
        "domain": "global",
        "reason": "forbidden"
      }
    ]
  }
}

누락된 권한 요청

조직에서 액세스 관련 정책을 수정할 권한이 없으면 권한 오류를 직접 해결할 수 없습니다. 하지만 오류 메시지의 컨텍스트를 사용하여 관리자에게 액세스 요청을 보낼 수 있습니다.

다음과 같은 방법으로 액세스를 요청할 수 있습니다.

• 필요한 권한을 요청합니다. 이 해결 방법은 모든 유형의 권한 오류에 적용됩니다.

• Privileged Access Manager 사용 권한에 대한 권한 부여를 요청합니다. 이 해결 방법은 권한 오류가 허용 정책으로 인해 발생하고 필요한 권한이 있는 권한 액세스 관리자 권한이 있는 경우에만 효과가 있습니다.

• 필수 권한이 있는 역할을 요청합니다. 이 해결 방법은 권한 오류가 허용 정책으로 인해 발생한 경우에만 효과가 있습니다.

Google Cloud 콘솔을 사용하고 역할을 부여하는 데 필요한 권한이 있는 경우 요청하는 대신 오류 메시지에서 직접 역할을 부여할 수 있습니다. 자세한 내용은 Google Cloud 콘솔에서 역할 자체 부여를 참고하세요.

필수 권한 요청

필요한 권한을 요청하려면 다음 단계를 따르세요.

Privileged Access Manager 사용 권한에 대한 권한 부여 요청

Privileged Access Manager 사용 권한은 언제든지 요청할 수 있는 IAM 역할 집합을 정의합니다. 요청이 성공하면 요청된 역할이 일시적으로 부여됩니다.

이 해결 옵션은 권한 오류가 허용 정책으로 인해 발생하고 필요한 권한이 있는 Privileged Access Manager 권한이 있는 경우에만 사용할 수 있습니다.

기존 사용 권한에 대해 권한 부여를 요청하려면 다음 단계를 따르세요.

역할 요청

허용 정책으로 인해 권한 오류가 발생하는 경우 관리자에게 오류를 해결하는 데 필요한 권한이 있는 역할을 부여해 달라고 요청할 수 있습니다.

오류가 다른 정책 유형으로 인해 발생하거나 오류를 유발하는 정책 유형을 잘 모르는 경우 필요한 권한을 요청하세요.

Google Cloud 콘솔에서 역할 자체 부여

Google Cloud 콘솔에서 권한 오류가 발생하고 역할을 부여하는 데 필요한 권한이 있는 경우 권한 오류 메시지에서 직접 역할을 부여할 수 있습니다.

1. 부여할 역할 선택 섹션에서 추천 역할 목록을 검토하고 요청할 역할을 선택합니다. 역할을 클릭하면 역할에 대한 자세한 내용을 볼 수 있습니다.

2. 선택한 역할을 부여하려면 역할을 클릭한 다음 액세스 권한 부여를 클릭합니다.

   

액세스 요청으로 인한 권한 오류 해결

관리자인 경우 Google Cloud 콘솔에서 권한 오류가 발생한 사용자로부터 액세스 요청을 받을 수 있습니다. 이러한 요청은 일반적으로 다음 사용자에게 전송됩니다.

• 조직의 기술 필수 연락처. 조직에서 필수 연락처를 사용 설정한 경우Google Cloud 콘솔에서 권한 오류가 발생하는 사용자는 조직의 기술 필수 연락처에 액세스 요청을 보낼 수 있습니다.

• 선호하는 요청 관리 시스템을 통해 구성된 연락처 Google Cloud 콘솔에서 권한 오류가 발생하는 사용자는 액세스 요청 메시지를 복사한 후 원하는 요청 관리 시스템을 사용하여 전송할 수 있습니다.

이러한 메시지는 일반적으로 다음 형식을 갖습니다.

user@example.com is requesting a role on the resource example.com:example-project.

Requestor's message:

"I need access to example-project to complete my work."

You may be able to resolve this request by granting access directly at:

ACCESS_REQUEST_PANEL_URL

Or use the Policy Troubleshooter to determine what's preventing access for user@example.com:

POLICY_TROUBLESHOOTER_URL

이러한 요청은 다음과 같은 방법으로 처리할 수 있습니다.

• 액세스 직접 해결: 액세스 요청에는 Google Cloud 콘솔의 액세스 요청 패널로 연결되는 링크가 포함되어 있습니다. 허용 정책으로 인해 권한 오류가 발생한 경우 해당 패널에서 직접 액세스를 해결할 수 있습니다.

  액세스 요청 패널에서 요청 세부정보를 검토하고 요청에 응답하는 방법을 선택할 수 있습니다. 다음과 같은 방법으로 응답할 수 있습니다.

  • 요청된 역할 부여
  • 필요한 액세스 권한이 이미 있는 기존 그룹에 사용자 추가
  • 요청 거부

• 정책 문제 해결 도구에서 추가 세부정보 보기: 액세스 요청에는 정책 문제 해결 도구 링크도 포함되어 있어 사용자의 액세스를 차단하는 정책을 확인할 수 있습니다. 이 정보를 사용하여 사용자의 액세스 문제를 해결하는 방법을 결정할 수 있습니다. 자세한 내용은 이 페이지의 권한 오류를 일으키는 정책 식별을 참고하세요.

권한 오류 수동 해결

조직의 액세스 관련 정책을 수정할 권한이 있는 관리자는 오류를 유발하는 정책 유형과 관계없이 이러한 전략을 사용하여 권한 오류를 해결할 수 있습니다.

권한 오류를 해결하려면 먼저 오류를 일으키는 정책 (허용, 거부 또는 주 구성원 액세스 경계)을 확인해야 합니다. 그런 다음 오류를 해결할 수 있습니다.

권한 오류를 일으키는 정책 식별

권한 오류를 일으키는 정책을 확인하려면 정책 문제 해결 도구를 사용하세요.

액세스 문제를 해결하고 정책 문제 해결 도구 결과를 해석하는 방법을 알아보려면 IAM 권한 문제 해결을 참고하세요.

Google Cloud 콘솔의 오류 메시지에는 요청에 관련된 주 구성원, 권한, 리소스의 정책 문제 해결 도구 결과 페이지 링크가 포함됩니다. 이 링크를 보려면 문제 해결 세부정보 보기를 클릭한 다음 문제 해결 URL 필드에서 값을 찾습니다.

액세스 권한을 업데이트하여 권한 오류 해결

권한 오류를 일으키는 정책을 파악한 후 오류를 해결하기 위한 조치를 취할 수 있습니다.

오류를 해결하려면 허용, 거부 또는 주 구성원 액세스 경계 정책을 만들거나 업데이트해야 하는 경우가 많습니다.

하지만 정책 업데이트와 관련이 없는 오류를 해결하는 다른 옵션도 있습니다. 예를 들어 필요한 권한이 있는 그룹에 사용자를 추가하거나 태그를 추가하여 리소스를 정책에서 제외할 수 있습니다.

다양한 정책 유형으로 인해 발생하는 권한 오류를 해결할 수 있는 다양한 방법을 알아보려면 다음을 참고하세요.

• 허용 정책 권한 오류 해결
• 거부 정책 권한 오류 해결

• 주 구성원 액세스 경계 권한 오류 해결

허용 정책 권한 오류 해결

허용 정책으로 인한 권한 오류를 해결하려면 다음 중 하나를 수행하세요.

필수 권한이 있는 역할 부여

필요한 권한이 있는 역할을 찾아 부여하려면 다음 단계를 따르세요.

1. 누락된 권한이 포함된 IAM 역할을 식별합니다.

   특정 권한이 포함된 모든 역할을 확인하려면 IAM 역할 및 권한 색인에서 권한을 검색한 다음 권한 이름을 클릭하세요.

   사전 정의된 역할이 사용 사례와 일치하지 않는 경우 대신 커스텀 역할을 만들 수 있습니다.

2. 역할을 부여할 주 구성원을 식별합니다.

   • 권한이 필요한 사용자가 한 명뿐인 경우 사용자에게 직접 역할을 부여합니다.
   • 사용자가 비슷한 권한이 필요한 사용자가 모두 포함된 Google 그룹에 속해 있다면 그룹에 역할을 부여하는 것이 좋습니다. 그룹에 역할을 부여하면 해당 그룹의 모든 구성원이 이 권한을 사용할 수 있습니다. 단, 사용이 명시적으로 거부된 경우는 예외입니다.

3. 주 구성원에게 역할을 부여합니다.

Privileged Access Manager 사용 권한에 대한 권한 부여 승인

Privileged Access Manager 권한을 사용하면 사용자가 특정 IAM 역할을 부여받도록 요청할 수 있습니다. 사용자의 권한 부여 요청을 승인하면 요청된 역할이 일시적으로 부여됩니다.

사용자에게 필요한 권한이 포함된 역할이 있는 Privileged Access Manager 사용 권한이 이미 있는 경우 해당 사용 권한에 대한 부여를 요청할 수 있습니다. 사용자가 권한 부여를 요청하면 권한 부여를 승인하여 권한 오류를 해결할 수 있습니다.

사용자에게 사용 권한이 없는 경우 사용자가 권한 부여를 요청할 수 있도록 새 사용 권한을 생성할 수 있습니다.

Google 그룹에 사용자 추가

Google 그룹에 리소스에 대한 역할이 부여되면 해당 그룹의 모든 구성원이 해당 역할의 권한을 사용하여 리소스에 액세스할 수 있습니다.

필요한 권한이 있는 역할이 기존 그룹에 이미 부여된 경우 해당 그룹에 사용자를 추가하여 사용자에게 필요한 권한을 부여할 수 있습니다.

1. 필요한 권한이 있는 역할이 있는 그룹을 식별합니다. 이미 정책 문제 해결 도구를 사용하여 요청 문제를 해결한 경우 정책 문제 해결 도구 결과를 검토하여 필수 권한이 있는 그룹을 식별할 수 있습니다.

   또는 정책 분석기를 사용하여 필요한 권한이 있는 그룹을 식별할 수 있습니다.

2. 그룹에 사용자를 추가합니다.

거부 정책 권한 오류 해결

거부 정책과 관련된 권한 오류를 해결하려면 다음 중 하나를 수행하세요.

거부 정책에서 자신을 제외

거부 규칙으로 인해 사용자가 리소스에 액세스할 수 없는 경우 다음 중 하나를 수행하여 사용자를 규칙에서 제외할 수 있습니다.

• 거부 규칙에 사용자를 예외 주 구성원으로 추가합니다. 예외 주 구성원은 거부 규칙에 포함된 그룹에 속해 있더라도 거부 규칙의 영향을 받지 않는 주 구성원입니다.

  거부 규칙에 예외 주 구성원을 추가하려면 거부 정책을 업데이트하는 단계를 따르세요. 거부 정책을 업데이트할 때 액세스를 차단하는 거부 규칙을 찾은 다음 사용자의 주 구성원 식별자를 예외 주 구성원으로 추가합니다.

• 규칙에서 제외된 그룹에 사용자를 추가합니다. 그룹이 예외 주 구성원으로 나열되면 해당 그룹의 모든 구성원이 거부 규칙에서 제외됩니다.

  사용자를 면제 그룹에 추가하려면 다음 단계를 따르세요.

  1. 정책 문제 해결 도구를 사용하여 리소스에 대한 액세스를 차단하는 거부 정책을 식별합니다.
  2. 거부 정책 보기
  3. 그룹의 예외 주체 목록을 확인합니다.
  4. 예외 그룹을 식별한 경우 사용자를 그룹에 추가합니다.

거부 정책에서 권한 삭제

거부 규칙은 나열된 주 구성원이 특정 권한을 사용하지 못하도록 방지합니다. 거부 규칙으로 인해 사용자가 리소스에 액세스할 수 없는 경우 거부 규칙에서 필요한 권한을 삭제하면 됩니다.

거부 규칙에서 권한을 삭제하려면 거부 정책을 업데이트하는 단계를 따르세요. 거부 정책을 업데이트할 때 액세스를 차단하는 거부 규칙을 찾은 후 다음 중 하나를 수행합니다.

• 거부 정책에 필수 권한이 개별적으로 나열되어 있는 경우 필수 권한을 찾아 거부 규칙에서 삭제합니다.
• 거부 규칙에서 권한 그룹을 사용하는 경우 필수 권한을 예외 권한으로 추가합니다. 예외 권한은 규칙에 포함된 권한 그룹에 속해 있더라도 거부 규칙에 의해 차단되지 않는 권한입니다.

거부 정책에서 리소스 제외

거부 정책의 조건을 사용하여 리소스의 태그에 따라 거부 규칙을 적용할 수 있습니다. 리소스의 태그가 거부 규칙의 조건을 충족하지 않으면 거부 규칙이 적용되지 않습니다.

거부 규칙으로 인해 리소스에 대한 액세스가 차단되는 경우 거부 규칙의 조건이나 리소스의 태그를 수정하여 거부 규칙이 리소스에 적용되지 않도록 할 수 있습니다.

• 거부 규칙에서 조건을 사용하는 방법은 거부 정책의 조건을 참고하세요.

• 거부 정책을 업데이트하는 방법을 알아보려면 거부 정책 업데이트를 참고하세요.

• 리소스의 태그를 수정하는 방법을 알아보려면 태그 생성 및 관리를 참고하세요.

주 구성원 액세스 경계 정책 권한 오류 해결

기본적으로 주 구성원은 모든 Google Cloud 리소스에 액세스할 수 있습니다. 하지만 주 구성원 액세스 경계 정책이 적용되는 경우 주 구성원에게 적용되는 주 구성원 액세스 경계 정책에 나열된 리소스에만 액세스할 수 있습니다. 이러한 경우 주 구성원 액세스 경계 정책으로 인해 주 구성원이 리소스에 액세스하지 못할 수 있습니다.

주 구성원 액세스 경계 정책과 관련된 오류를 해결하려면 다음 중 하나를 따르세요.

주 구성원 액세스 경계 정책에 리소스 추가

사용자에게 적용되는 주 구성원 액세스 경계 정책에 리소스가 포함되어 있으면 해당 리소스에 액세스할 수 있습니다.

주 구성원 액세스 경계 정책에 리소스를 추가하려면 다음 중 하나를 수행하세요.

• 새 주 구성원 액세스 경계 정책을 만듭니다.

  1. 리소스를 포함하는 새 주 구성원 액세스 경계 정책을 만듭니다.

  2. 사용자가 포함된 주 구성원 집합에 정책을 바인드합니다.

     주 구성원 집합에 대해 자세히 알아보려면 지원되는 주 구성원 집합을 참고하세요.

• 기존 주 구성원 액세스 경계 정책을 업데이트합니다.

  1. 사용자가 포함된 주 구성원 집합의 주 구성원 액세스 경계 정책 바인딩을 나열합니다. 각 바인딩은 주 구성원 집합에 바인딩된 주 구성원 액세스 경계 정책을 나타냅니다.
  2. 바인딩 목록에서 수정할 주 구성원 액세스 경계 정책을 식별합니다.
  3. 선택사항: 정책이 바인딩된 주 구성원 집합을 확인하려면 정책의 주 구성원 액세스 경계 정책 바인딩을 나열합니다. 정책을 업데이트하면 정책이 바인딩된 모든 주 구성원 집합의 액세스에 영향을 미칩니다.
  4. 리소스가 포함되도록 주 구성원 액세스 경계 정책을 수정합니다.

특정 주 구성원을 제외하는 조건 추가

주 구성원 액세스 경계 정책 바인딩의 조건을 사용하여 주 구성원 액세스 경계 정책이 적용되는 주 구성원을 미세 조정할 수 있습니다.

사용자에게 주 구성원 액세스 경계 정책을 적용하지 않으려면 주 구성원 액세스 경계 정책 바인딩의 조건을 사용하여 사용자에게 주 구성원 액세스 경계 정책을 적용하지 않도록 하면 됩니다.

이 방법으로 오류를 해결하려면 사용자가 적용되는 모든 주 구성원 액세스 경계 정책에서 사용자를 제외해야 합니다. 이렇게 하면 사용자가 모든 Google Cloud 리소스에 액세스할 수 있게 됩니다.

이 방법은 사용하지 않는 것이 좋습니다. 대신 주 구성원 액세스 경계 정책에 리소스를 추가하는 것이 좋습니다.

사용자에게 적용되는 주 구성원 액세스 경계 정책을 보려면 사용자가 포함된 주 구성원 집합의 정책 바인딩을 나열합니다. 각 바인딩은 주 구성원 집합에 바인딩된 주 구성원 액세스 경계 정책을 나타냅니다.

주 구성원 액세스 경계 정책 바인딩에 조건을 추가하는 방법은 주 구성원 액세스 경계 정책의 기존 정책 바인딩 수정을 참고하세요.

다음 단계

• 정책 시뮬레이터를 사용하여 역할 변경 테스트
• 정책 시뮬레이터로 거부 정책 변경사항 테스트
• 주 구성원 액세스 경계 정책 변경사항 테스트