다음은 역할 권장사항을 관리하기 위한 권장사항입니다.
역할 권장사항에 대한 자세한 내용은 역할 권장사항 개요를 참조하세요.
권장사항 시작하기
다음은 역할 권장사항을 시작하는 데 도움을 줍니다.
과도하게 부여된 권한을 삭제하는 것으로 시작합니다. 많은 주 구성원이 편집자와 같이 높은 권한이 있는 역할을 갖고 있으므로 처음에는 권장사항이 다수 나타날 수 있습니다. 프로젝트 또는 조직의 모든 권장사항에 대처하여 모든 주 구성원이 적절한 역할을 갖도록 합니다.
이 초기 삭제를 수행할 때는 다음 유형의 권장사항을 우선적으로 따릅니다.
서비스 계정의 권한을 축소하는 권장사항 기본적으로 모든 기본 서비스 계정에는 프로젝트에 대한 높은 권한이 있는 편집자 역할이 부여됩니다. 개발자가 관리하는 다른 서비스 계정에도 높은 권한이 있는 역할이 부여되었을 수 있습니다. 과도한 권한이 있는 서비스 계정을 포함하여 과도하게 부여된 권한은 모두 보안 위험을 증가시키므로 초기 삭제 시 과도한 권한이 있는 서비스 계정을 우선적으로 처리하는 것이 좋습니다.
권한 에스컬레이션을 방지하기 위한 권장사항 주 구성원이 서비스 계정(
iam.serviceAccounts.actAs
)으로 작업을 수행하거나 리소스의 허용 정책을 가져오거나 설정할 수 있게 해주는 역할은 주 구성원이 자신의 권한을 승격시킬 수 있는 가능성이 있습니다. 이러한 역할과 관련된 권장사항을 우선 처리합니다.측면 이동을 줄여주는 권장사항. 측면 이동은 한 프로젝트의 서비스 계정에 다른 프로젝트의 서비스 계정을 가장할 수 있는 권한이 있는 경우입니다. 이러한 권한은 주 구성원에 의도하지 않은 리소스 액세스 권한을 부여하는 프로젝트 간의 일련의 가장을 일으킬 수 있습니다. 의도하지 않은 액세스를 줄이려면 측면 이동 통계와 연관된 권장사항을 우선적용합니다.
우선순위 수준이 높은 권장사항 IAM 권장사항에는 연결된 역할 binding에 따라 자동으로 우선순위 수준이 할당됩니다. 과도하게 부여된 권한을 빠르게 줄이려면 높은 우선순위 수준으로 권장사항의 우선순위를 지정합니다.
권장사항의 우선순위를 결정하는 방법은 권장사항 우선순위를 참조하세요.
한 프로젝트에서 과도한 권한을 부여받은 주 구성원이 발견되면 다른 프로젝트에도 이 주 구성원과 관련된 권장사항이 있는지 확인합니다. 한 프로젝트에서 과도한 권한이 있는 역할을 부여받은 주 구성원이 있으면 다른 프로젝트에서도 과도한 권한을 부여받았을 가능성이 있습니다. 여러 프로젝트에서 주 구성원에 대한 권장사항을 검토하여 전역에서 주 구성원의 액세스 권한을 적절한 수준으로 축소합니다.
초기 삭제 후에는 정기적으로 권장사항을 확인합니다. 최소 1주일에 1번 이상 권장사항을 확인하는 것이 좋습니다. 일반적으로 이러한 확인에 걸리는 시간은 초기 삭제 시보다 훨씬 적습니다. 마지막 삭제 또는 확인 후에 발생한 변경사항에 대한 권장사항만 처리하면 되기 때문입니다.
정기적으로 권한을 확인하면 각 확인에 필요한 작업이 줄어들고 비활성 사용자를 사전에 파악하여 삭제할 수 있을 뿐만 아니라 활성 사용자의 권한 범위를 계속 축소할 수 있습니다.
권장사항 작업의 권장사항
Recommender API 또는 gcloud CLI의 recommender
명령어를 사용하여 권장사항을 관리하는 경우 적용하는 권장사항의 상태를 업데이트해야 합니다. 이렇게 하면 권장사항을 추적할 수 있으며 권장사항 로그에 변경사항이 표시됩니다.
자동으로 권장사항을 적용하기 위한 권장사항
권장사항을 보다 효율적으로 관리하기 위해 권장사항 적용 프로세스를 자동화할 수 있습니다. 자동화를 사용하는 경우 다음 사항에 유의하세요.
추천자는 액세스에 브레이킹 체인지를 유발하지 않는 권장사항을 제공합니다. 예를 들어 주 구성원이 지난 90일 동안 수동적 또는 능동적으로 사용한 권한을 제외하는 역할은 권장되지 않습니다. 또한 머신러닝을 사용하여 사용자에게 필요할 수 있는 다른 권한을 파악합니다.
하지만 제공되는 권장사항이 액세스에 브레이킹 체인지를 유발하지 않는다고 보장할 수 없으며 권장사항이 적용되면 주 구성원이 필요한 리소스에 액세스하지 못하게 될 수도 있습니다. IAM 추천자 작동 방식을 살펴보고 자신에게 맞는 자동화 수준이 어느 정도인지 판단하는 것이 좋습니다. 예를 들어 대부분의 권장사항이 자동으로 적용되지만 권한을 특정 수만큼 추가 또는 삭제하거나 특정 역할을 부여 또는 취소하는 권장사항을 수동으로 검토할 수 있습니다.
권장사항을 자동화할 때 권장사항이 어떤 리소스에 적용되는지 식별하는 것이 좋습니다. 리소스를 식별하려면 operation.resource
필드를 사용합니다. name
필드와 같은 다른 필드는 권장사항이 적용되는 리소스를 항상 나타내지는 않습니다.
다음 단계
- 역할 권장사항 이해하기
- 권장사항 검토 및 적용 단계 알아보기
- IAM 권장사항 데이터 내보내기 방법 알아보기