정책 문제 해결

이 페이지에서는 Identity and Access Management(IAM) 허용, 거부, 주 구성원 액세스 경계 정책의 문제 해결 방법을 설명합니다.

정책 문제 해결 도구 사용

특정 주 구성원의 액세스 문제를 해결해야 하는 경우 IAM 정책 문제 해결 도구를 사용하세요.

정책 문제 해결 도구를 사용하여 허용 정책, 거부 정책, 주 구성원 액세스 경계 정책 문제를 해결하는 방법을 알아보려면 IAM 권한 문제 해결을 참조하세요.

리소스에 적용되는 모든 허용 및 거부 정책 보기

Google Cloud에서 다음 허용 정책과 거부 정책은 리소스에 대한 액세스 권한에 영향을 미칩니다.

• 리소스의 허용 정책
• 리소스의 거부 정책(있는 경우)
• 리소스의 상위 프로젝트, 폴더, 조직의 허용 정책(있는 경우)
• 리소스의 상위 프로젝트, 폴더, 조직의 거부 정책(있는 경우)

상위 프로젝트, 폴더, 조직의 허용 및 거부 정책은 정책 상속으로 인해 리소스 액세스에 영향을 미칩니다. 허용 또는 거부 정책을 프로젝트, 폴더 또는 조직에 연결하면 해당 프로젝트, 폴더 또는 조직 내의 모든 리소스에도 정책이 적용됩니다.

예를 들어 조직에 대한 거부 정책에서 주 구성원이 특정 권한을 사용할 수 없다면 주 구성원은 조직 내의 모든 리소스에 해당 권한을 사용할 수 없습니다. 이 규칙은 해당 조직 내 폴더 및 프로젝트에 더 많은 허용 거부 정책이 있거나 주 구성원에게 권한을 부여하는 허용 정책이 있는 경우에도 적용됩니다.

마찬가지로 프로젝트의 허용 정책이 주 구성원에게 특정 권한을 부여하는 경우 주 구성원은 해당 권한이 거부되지 않는 한 프로젝트 내의 모든 리소스에 대한 해당 권한을 가질 수 있습니다.

이러한 모든 정책을 리소스에 대한 적용 가능한 정책 또는 유효 정책이라고 부릅니다.

Google Cloud에서 --include-deny 플래그와 함께 gcloud beta projects get-ancestors-iam-policy 명령어를 사용하여 프로젝트에 대한 액세스 권한에 영향을 미치는 모든 허용 정책과 거부 정책의 목록을 가져올 수 있습니다. 이러한 정책은 프로젝트에 적용 가능한 정책을 구성합니다. 각 정책을 조사하여 주 구성원의 액세스에 미치는 영향을 확인할 수 있습니다.

gcloud beta projects get-ancestors-iam-policy PROJECT_ID --include-deny --format=json

gcloud beta projects get-ancestors-iam-policy PROJECT_ID --include-deny --format=json

gcloud beta projects get-ancestors-iam-policy PROJECT_ID --include-deny --format=json

[
  {
    "id": "1234567890123",
    "policy": {
      "bindings": [
        {
          "members": [
            "group:cloud-admins@example.com"
          ],
          "role": "roles/iam.denyAdmin"
        },
        {
          "members": [
            "user:raha@example.com"
          ],
          "role": "roles/iam.serviceAccountAdmin"
        }
      ],
      "etag": "BwXW6Eab7TI=",
      "version": 1
    },
    "type": "organization"
  },
  {
    "id": "my-project",
    "policy": {
      "bindings": [
        {
          "members": [
            "group:cloud-admins@example.com"
          ],
          "role": "roles/owner"
        }
      ],
      "etag": "BwXXjOM7L6M=",
      "type": "project"
    }
  },
  {
    "id": "my-project",
    "policy": {
      "createTime": "2022-02-14T21:46:35.865279Z",
      "displayName": "My deny policy",
      "etag": "MTgyMzg2ODcwNTEyMjMxMTM3Mjg=",
      "kind": "DenyPolicy",
      "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/my-deny-policy",
      "rules": [
        {
          "denyRule": {
            "deniedPermissions": [
              "iam.googleapis.com/serviceAccounts.create"
            ],
            "deniedPrincipals": [
              "user:raha@example.com"
            ]
          },
          "description": "Prevent service account creation"
        }
      ],
      "uid": "c83e3dc3-d8a6-6f51-4018-814e9f200b05",
      "updateTime": "2022-02-14T21:46:35.865279Z"
    },
    "type": "project"
  }
]

예를 들어 조직에서 거부 정책을 사용하지 않는 경우 리소스의 유효한 허용 정책만 보면 됩니다. 이러한 경우 다음 방법을 사용하여 유효한 허용 정책을 볼 수 있습니다.

• Google Cloud 콘솔에서 리소스의 IAM 허용 정책을 확인합니다. Google Cloud 콘솔에 각 리소스의 유효한 정책이 자동으로 표시됩니다.

  Google Cloud 콘솔에서 리소스의 IAM 허용 정책을 보는 방법은 현재 액세스 권한 보기를 참조하세요.

• Cloud Asset API를 사용하여 리소스의 유효한 허용 정책을 가져옵니다. 자세히 알아보려면 유효한 IAM 정책 보기를 참조하세요.

허용 정책 검색

허용 정책에서 특정 역할 바인딩을 찾아야 하는 경우 허용 정책을 검색할 수 있습니다.

Cloud 애셋 인벤토리를 사용하면 지정된 매개변수와 일치하는 역할 바인딩의 허용 정책을 검색할 수 있습니다. 다음과 같은 다양한 검색 매개변수를 사용할 수 있습니다.

• 리소스 유형
• 주 구성원 유형
• 역할
• 프로젝트
• 폴더
• 조직

자세한 내용은 IAM 허용 정책 검색을 참조하세요.