IAM 권장사항 생성을 위해 데이터 내보내기

IAM 역할 추천자는 Google Cloud에서 서비스를 사용하는 동안에 수집된 집계 IAM 액세스 데이터를 사용하여 권장사항을 제공합니다. 이 페이지에서는 BigQuery Data Transfer Service를 사용하여 BigQuery로 해당 액세스 데이터를 내보내는 방법을 설명합니다.

통계 및 권장사항의 스냅샷을 내보내려면 BigQuery로 통계 및 권장사항 내보내기를 참조하세요.

시작하기 전에

역할 권장사항에 대해 읽어봅니다.

필수 권한

데이터 전송을 만들려면 조직에 대한 다음 역할이 필요합니다.

  • 데이터 처리 제어 리소스 관리자(roles/dataprocessing.admin)
  • 조직 뷰어(roles/resourcemanager.organizationViewer)

또한 데이터를 내보낼 프로젝트에 대한 BigQuery 관리자 역할(roles/bigquery.admin)이 필요합니다.

집계된 IAM 액세스 데이터 내보내기

프로젝트의 집계 IAM 액세스 내역을 BigQuery로 내보내려면 투명성 및 제어 센터를 사용하여 데이터 전송을 설정하세요.

  1. Google Cloud Console에서 개인정보 보호 및 보안 페이지로 이동합니다.

    개인 정보 보호 및 보안으로 이동

  2. 드롭다운 목록에서 조직을 선택한 다음 선택을 클릭합니다.

  3. 투명성 및 제어를 클릭합니다.

  4. 데이터 처리 그룹 테이블에서 IAM을 클릭합니다.

  5. 페이지의 데이터 소스 섹션에서 전송 만들기를 클릭합니다.

  6. 프로젝트 필드에서 찾아보기를 클릭한 후 데이터를 내보낼 프로젝트를 선택합니다. 프로젝트에 BigQuery Data Transfer Service API가 사용 설정되어 있지 않으면 API 사용 설정을 클릭하고 API가 사용 설정될 때까지 기다립니다.

  7. 다음을 클릭합니다.

  8. 데이터 전송 구성:

    1. 표시 이름 필드에 데이터 전송의 표시 이름을 입력합니다.
    2. 일정 옵션 섹션에서 데이터 전송이 시작되는 시기와 실행 빈도를 선택합니다.

      • 전송을 시작할 시간을 선택하려면 기본값 지금 시작을 그대로 두거나 설정 시간에 시작을 클릭합니다.
      • 반복 필드에서 전송을 실행할 빈도 옵션을 선택합니다. 매일 이외의 옵션을 선택하면 추가 옵션이 제공됩니다. 예를 들어 매주를 선택하면 요일을 선택할 수 있는 옵션이 나타납니다.
      • 시작일 및 실행 시간에 전송을 시작할 날짜와 시간을 입력합니다. 지금 시작을 선택하면 이 옵션은 중지됩니다.
    3. 데이터 세트 ID 필드에서 데이터를 내보낼 BigQuery 데이터 세트를 선택합니다.

      데이터를 기존 데이터 세트로 내보내거나 새 데이터 세트를 만들 수 있습니다.

      • 기존 데이터 세트로 데이터를 내보내려면 데이터 세트 ID 필드를 클릭한 후 드롭다운 목록에서 데이터 세트를 선택합니다.
      • 새 데이터 세트로 데이터를 내보내려면 데이터 세트 ID 필드를 클릭하고 새 데이터 세트 만들기를 클릭한 후 데이터 세트 만들기 창에서 다음과 같이 필드에 입력합니다.

        1. 데이터 세트 ID 필드에 데이터 세트의 ID를 입력합니다. 문자, 숫자, 밑줄을 사용할 수 있습니다.
        2. 데이터 위치 드롭다운 목록에서 미국(US) 또는 유럽 연합(EU)을 선택합니다.
        3. 선택사항: 테이블 만료 시간을 선택하여 테이블 시간를 사용 설정합니다.
        4. 선택사항: 암호화 방법을 선택합니다. 기본 암호화 방법은 Google 관리 암호화 키입니다. 고객 관리 암호화 키(CMEK)를 선택하는 경우 고객 관리 키도 선택해야 합니다.

      설정한 전송은 데이터 세트와 동일한 리전에 있으며 이동할 수 없습니다.

    4. project_numbers 필드에 집계된 IAM 액세스 데이터를 내보낼 프로젝트의 프로젝트 번호를 입력합니다. 여러 프로젝트 번호를 나열하는 경우 프로젝트 번호를 쉼표로 구분합니다. 한 번에 최대 10개의 프로젝트에 대한 데이터를 내보낼 수 있습니다.

      프로젝트 번호를 찾으려면 다음 단계를 따르세요.

      1. Cloud Console에서 설정 페이지로 이동합니다.

        설정으로 이동

      2. 프로젝트를 선택합니다.

      3. 프로젝트 번호 필드에서 프로젝트 ID를 복사합니다.

    5. 선택사항: 전송 알림을 사용 설정합니다.

      • 실패한 전송 실행에 대한 알림을 사용 설정하려면 이메일 알림 전환 버튼을 클릭합니다. 이 옵션을 사용 설정하면 전송 실행이 실패할 때 전송 관리자에게 이메일 알림이 발송됩니다.
      • 전송용 Pub/Sub 알림을 사용 설정하려면 Pub/Sub 주제 선택을 클릭한 다음 주제를 선택하거나 만듭니다.
  9. 완료를 클릭합니다.

기존 데이터 전송 관리

투명성 및 제어 센터 또는 BigQuery에서 전송을 보고 관리할 수 있습니다.

  • 조직의 모든 집계된 IAM 액세스 데이터 전송을 보려면 투명성 및 제어 센터를 사용하세요.

    1. Google Cloud Console에서 개인정보 보호 및 보안 페이지로 이동합니다.

      개인 정보 보호 및 보안으로 이동

    2. 드롭다운 목록에서 조직을 선택한 다음 선택을 클릭합니다.

    3. 투명성 및 제어를 클릭합니다.

    4. 데이터 처리 그룹 테이블에서 IAM을 클릭합니다. 이 페이지의 데이터 전송 섹션에는 조직의 모든 집계된 IAM 액세스 데이터 전송이 나열됩니다.

    5. 개별 전송을 관리하려면 전송의 표시 이름을 클릭합니다.

  • 집계된 IAM 액세스 데이터 전송을 포함하여 프로젝트의 모든 데이터 전송을 보려면 BigQuery를 사용하세요.

    1. Cloud Console에서 데이터 전송 페이지로 이동합니다.

      데이터 전송으로 이동

    2. 데이터를 내보낸 프로젝트를 선택합니다.

    3. 데이터 전송 페이지에는 집계된 IAM 액세스 데이터 전송을 포함하여 프로젝트의 모든 데이터 전송이 표시됩니다.

    4. 개별 전송을 관리하려면 전송의 표시 이름을 클릭합니다.

다음 단계