IAM 추천자 권장사항

다음은 IAM 추천자 권장사항을 관리하기 위한 권장사항입니다.

IAM 추천자에 대한 자세한 내용은 IAM 추천자 개요를 참조하세요.

권장사항 시작하기

다음 권장사항을 통해 IAM 추천자를 시작할 수 있습니다.

  • 과도하게 부여된 권한을 삭제하는 것으로 시작합니다. 많은 구성원이 편집자와 같이 높은 권한이 있는 역할을 갖고 있으므로 처음에는 권장사항이 다수 나타날 수 있습니다. 프로젝트 또는 조직의 모든 권장사항에 대처하여 모든 구성원이 적절한 역할을 갖도록 합니다.

    이 초기 삭제를 수행할 때는 다음 유형의 권장사항을 우선적으로 따릅니다.

    • 서비스 계정의 권한을 축소하는 권장사항 기본적으로 모든 기본 서비스 계정에는 프로젝트에 대한 높은 권한이 있는 편집자 역할이 부여됩니다. 개발자가 관리하는 다른 서비스 계정에도 높은 권한이 있는 역할이 부여되었을 수 있습니다. 과도한 권한이 있는 서비스 계정을 포함하여 과도하게 부여된 권한은 모두 보안 위험을 증가시키므로 초기 삭제 시 과도한 권한이 있는 서비스 계정을 우선적으로 처리하는 것이 좋습니다.

    • 권한 에스컬레이션을 방지하기 위한 권장사항 구성원이 서비스 계정(iam.serviceAccounts.actAs) 역할을 수행하거나 리소스의 IAM 정책을 가져오거나 설정할 수 있는 역할이 있는 구성원은 자신의 권한을 에스컬레이션할 수 있습니다. 이러한 역할과 관련된 권장사항을 우선 처리합니다.

    • 한 프로젝트에서 과도한 권한을 부여받은 구성원이 발견되면 다른 프로젝트에도 이 구성원과 관련된 권장사항이 있는지 확인합니다. 한 프로젝트에서 과도한 권한이 있는 역할을 부여받은 구성원이 있으면 다른 프로젝트에서도 과도한 권한을 부여받았을 가능성이 있습니다. 여러 프로젝트에서 구성원에 대한 권장사항을 검토하여 전역에서 구성원의 액세스 권한을 적절한 수준으로 축소합니다.

  • 초기 삭제 후에는 정기적으로 권장사항을 확인합니다. 최소 1주일에 1번 이상 권장사항을 확인하는 것이 좋습니다. 일반적으로 이러한 확인에 걸리는 시간은 초기 삭제 시보다 훨씬 적습니다. 마지막 삭제 또는 확인 후에 발생한 변경사항에 대한 권장사항만 처리하면 되기 때문입니다.

    정기적으로 권한을 확인하면 각 확인에 필요한 작업이 줄어들고 비활성 사용자를 사전에 파악하여 삭제할 수 있을 뿐만 아니라 활성 사용자의 권한 범위를 계속 축소할 수 있습니다.

권장사항 작업의 권장사항

Recommender API 또는 gcloud 도구의 recommender 명령어를 사용하여 권장사항을 관리하는 경우 적용하는 권장사항의 상태를 업데이트해야 합니다. 이렇게 하면 권장사항을 추적할 수 있으며 권장사항 로그에 변경사항이 표시됩니다.

자동으로 권장사항을 적용하기 위한 권장사항

권장사항을 보다 효율적으로 관리하기 위해 권장사항 적용 프로세스를 자동화할 수 있습니다. 자동화를 사용하는 경우 다음 사항에 유의하세요.

IAM 추천자는 액세스에 브레이킹 체인지를 유발하지 않는 권장사항을 제공합니다. 예를 들어 구성원이 지난 90일 동안 수동적 또는 능동적으로 사용한 권한을 제외하는 역할은 권장되지 않습니다. 또한 머신러닝을 사용하여 사용자에게 필요할 수 있는 다른 권한을 파악합니다.

하지만 제공되는 권장사항이 액세스에 브레이킹 체인지를 유발하지 않는다고 보장할 수 없으며 권장사항이 적용되면 구성원이 필요한 리소스에 액세스하지 못하게 될 수도 있습니다. IAM 추천자 작동 방식을 살펴보고 자신에게 맞는 자동화 수준이 어느 정도인지 판단하는 것이 좋습니다. 예를 들어 대부분의 권장사항이 자동으로 적용되지만 권한을 특정 수만큼 추가 또는 삭제하거나 특정 역할을 부여 또는 취소하는 권장사항을 수동으로 검토할 수 있습니다.

다음 단계