IAM 주 구성원

Identity and Access Management (IAM)에서는 주 구성원의 액세스를 제어합니다. 주 구성원은 Google Cloud에 인증된 하나 이상의 ID를 나타냅니다.

정책에서 사용자 사용

정책에서 사용자를 사용하려면 다음 단계를 따르세요.

  1. 인식할 수 있는 ID를 구성합니다. Google Cloud ID 구성은 Google Cloud 가 인식할 수 있는 ID를 만드는 프로세스입니다. 사용자 및 워크로드의 ID를 구성할 수 있습니다.

    ID를 구성하는 방법을 알아보려면 다음을 참고하세요.

    • 사용자의 ID를 구성하는 방법을 알아보려면 사용자 ID를 참고하세요.
    • 워크로드의 ID를 구성하는 방법을 알아보려면 워크로드의 ID를 참고하세요.

  2. 사용할 주 구성원 식별자를 결정합니다. 주 구성원 식별자는 정책에서 주 구성원을 참조하는 방법입니다. 이 식별자는 단일 ID 또는 ID 그룹을 참조할 수 있습니다.

    주 구성원 식별자에 사용하는 형식은 다음에 따라 다릅니다.

    • 주 구성원 유형
    • 주 구성원을 포함할 정책 유형

    각 정책 유형의 각 주 구성원 유형에 대한 주 구성원 식별자 형식을 보려면 주 구성원 식별자를 참고하세요.

    식별자 형식을 알면 주 구성원의 이메일 주소와 같은 주 구성원의 속성을 기반으로 주 구성원의 고유 식별자를 확인할 수 있습니다.

  3. 정책에 주 구성원의 식별자를 포함합니다. 정책 형식에 따라 정책에 주 구성원을 추가합니다.

    IAM의 다양한 정책 유형에 대해 알아보려면 정책 유형을 참고하세요.

주 구성원 유형 지원

각 IAM 정책 유형은 IAM에서 지원하는 주 구성원 유형의 하위 집합을 지원합니다. 각 정책 유형에 지원되는 주 구성원 유형을 보려면 주 구성원 식별자를 참고하세요.

주 구성원 유형

IAM은 다음과 같은 유형의 주 구성원을 지원합니다.

다음 섹션에서는 이러한 기본 유형을 자세히 설명합니다.

Google 계정

Google 계정은 개발자, 관리자 또는 Google에서 만든 계정을 사용하여 Google Cloud 와 상호작용하는 다른 모든 사람을 나타냅니다. Google 계정(관리 사용자 계정이라고도 함)과 연결된 모든 이메일 주소를 주 구성원으로 사용할 수 있습니다. 여기에는 gmail.com 이메일 주소와 다른 도메인의 이메일 주소가 포함됩니다.

Google 계정 설정에 관한 자세한 내용은 Cloud ID 또는 Google Workspace 계정을 참고하세요.

서비스 계정

서비스 계정은 개별 최종 사용자가 아닌 애플리케이션 또는 컴퓨팅 워크로드에 대한 계정입니다.Google Cloud에서 호스팅되는 코드를 실행할 때는 애플리케이션의 ID로 사용할 서비스 계정을 지정합니다. 애플리케이션의 다양한 논리적 구성요소를 나타내는 데 필요한 만큼 서비스 계정을 생성할 수 있습니다.

서비스 계정에 대한 자세한 내용은 서비스 계정 개요를 참고하세요.

Google 그룹스

Google 그룹은 여러 Google 계정을 모아 이름을 붙인 계정 컬렉션입니다. 모든 Google 그룹에는 그룹과 연결된 고유한 이메일 주소가 있습니다. 모든 Google 그룹의 홈페이지에서 정보를 클릭하면 Google 그룹과 연결된 이메일 주소를 찾을 수 있습니다. Google 그룹스에 대한 자세한 내용은 Google 그룹스 홈페이지를 참조하세요.

Google 그룹스를 사용하면 여러 사용자 컬렉션에 액세스 제어를 편리하게 적용할 수 있습니다. 개별 사용자에게 한 번에 하나씩 액세스 제어 권한을 부여하거나 변경하는 대신 전체 그룹에 대해 액세스 제어 권한을 한 번에 부여하고 변경할 수 있습니다. 또한 주 구성원을 추가하거나 삭제하도록 허용 정책을 업데이트하는 대신 Google 그룹에서 주 구성원을 추가하거나 삭제할 수 있습니다.

Google 그룹스에는 로그인 사용자 인증 정보가 없으므로 Google 그룹스로 ID를 설정하여 리소스에 대한 액세스를 요청할 수 없습니다.

액세스 제어에 그룹을 사용하는 방법에 관한 자세한 내용은 Google 그룹 사용 권장사항을 참고하세요.

Google Workspace 계정

Google Workspace 계정은 계정에 포함된 모든 Google 계정의 가상 그룹을 나타냅니다. Google Workspace 계정은 example.com과 같은 조직의 인터넷 도메인 이름과 연결됩니다. username@example.com과 같은 새 사용자의 Google 계정을 만들면 Google 계정이 Google Workspace 계정의 가상 그룹에 추가됩니다.

Google 그룹스처럼 Google Workspace 계정을 ID 설정에 사용할 수 없지만 이 도메인을 사용하면 권한을 편리하게 관리할 수 있습니다.

Cloud ID 도메인

Cloud ID 도메인은 조직 내 모든 Google 계정의 가상 그룹을 나타내므로 Google Workspace 계정과 유사합니다. 하지만 Cloud ID 도메인 사용자는 Google Workspace 애플리케이션과 기능에 액세스할 수 없습니다. 자세한 내용은 Cloud ID 정보를 참조하세요.

allAuthenticatedUsers

allAuthenticatedUsers 값은 모든 서비스 계정과 Google 계정으로 인증된 인터넷에서의 모든 사용자를 나타내는 특수 식별자입니다. 이 식별자에는 개인 Gmail 계정과 같이 Google Workspace 계정이나 Cloud ID 도메인에 연결되지 않은 계정이 포함됩니다. 익명 방문자와 같은 인증되지 않은 사용자는 포함되지 않습니다.

외부 ID 공급업체(IdP)에서 관리하는 제휴 ID는 이 주 구성원 유형에 포함되지 않습니다. 직원 ID 제휴 또는 워크로드 아이덴티티 제휴를 사용하는 경우 allAuthenticatedUsers를 사용하지 마세요. 대신 다음 중 하나를 사용합니다.

일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.

allUsers

allUsers 값은 인증 사용자와 미인증 사용자를 포함하여 인터넷 상의 모든 사용자를 나타내는 특수 식별자입니다.

일부 리소스 유형은 이 주 구성원 유형을 지원하지 않습니다.

직원 ID 풀의 제휴 ID

직원 ID 풀의 제휴 ID는 외부 IdP에서 관리하고 직원 ID 제휴를 사용하여 제휴된 사용자 ID입니다. 직원 ID 풀의 특정 ID를 사용하거나 특정 속성을 사용하여 직원 ID 풀의 사용자 ID 그룹을 지정할 수 있습니다.

워크로드 아이덴티티 풀의 제휴 ID

워크로드 아이덴티티 풀의 제휴 ID는 외부 IdP에서 관리하고 워크로드 아이덴티티 제휴를 사용하여 제휴된 워크로드 ID입니다. 워크로드 아이덴티티 풀의 특정 워크로드 ID를 사용하거나 특정 속성을 사용하여 워크로드 아이덴티티 풀의 워크로드 ID 그룹을 지정할 수 있습니다.

GKE 포드

GKE에서 실행되는 워크로드는 GKE용 워크로드 아이덴티티 제휴를 사용하여 Google Cloud 서비스에 액세스합니다. GKE 포드의 주 구성원 식별자에 대한 자세한 내용은 IAM 정책에서 Kubernetes 리소스 참조를 참고하세요.

Resource Manager 주 구성원 집합

각 Resource Manager 리소스(프로젝트, 폴더, 조직)는 일련의 주 구성원과 연결됩니다. 주 구성원 액세스 경계 정책 바인딩을 만들 때 Resource Manager 리소스의 주 구성원 집합을 사용하여 해당 리소스와 연결된 모든 주 구성원을 참조할 수 있습니다.

Resource Manager 리소스의 주 구성원 집합에는 다음과 같은 주 구성원이 포함됩니다.

  • 프로젝트 주 구성원 집합: 지정된 프로젝트의 모든 서비스 계정 및 워크로드 ID 풀입니다.
  • 폴더 주 구성원 집합: 지정된 폴더의 모든 프로젝트에 있는 모든 서비스 계정과 모든 워크로드 ID 풀입니다.

  • 조직 주 구성원 집합: 다음 ID를 포함합니다.

    • Google Workspace 고객 ID와 연결된 모든 도메인의 모든 ID
    • 조직의 모든 직원 ID 풀
    • 조직의 모든 프로젝트에 있는 모든 서비스 계정 및 워크로드 아이덴티티 풀

다음 단계