액세스 제어 개요

Google Cloud Platform(GCP) 프로젝트를 만들면 프로젝트의 유일한 사용자가 됩니다. 기본적으로 다른 사용자는 팀 구성원으로 추가하고 프로젝트에서 역할을 부여할 때까지는 프로젝트나 Google Kubernetes Engine 리소스를 포함한 프로젝트 리소스에 액세스할 수 없습니다. 이 페이지에서는 GKE 리소스의 액세스 제어를 구성하는 방법을 설명합니다.

액세스 제어 옵션

Google Cloud Identity & Access Management(Cloud IAM)Kubernetes 역할 기반 액세스 제어(RBAC)라는 두 가지 액세스 제어 기능을 사용하여 프로젝트, 클러스터, 데이터를 보호할 수 있습니다.

Cloud IAM은 GCP 리소스에 대한 인증과 승인을 관리하는 GCP의 액세스 제어 시스템입니다. Cloud IAM을 사용하여 GKE 및 Kubernetes 리소스에 대한 액세스 권한을 사용자에게 부여합니다.

Kubernetes의 RBAC 시스템은 클러스터 내의 특정 리소스와 작업을 위한 세분화된 권한을 부여합니다.

Cloud IAM

Cloud IAM은 프로젝트와 GCP 리소스에 대한 액세스를 관리하는 역할을 제공합니다. 프로젝트에 사용자를 추가한 후 프로젝트와 클러스터 내에서 작업을 수행할 수 있는 권한을 부여하는 역할을 사용자에게 할당합니다. 기본 역할과 사전 정의된 역할을 할당할 수 있습니다. 테스트 목적으로 커스텀 역할을 만들 수도 있습니다.

또한 Cloud IAM을 사용하여 서비스 계정을 만들고 구성할 수 있습니다. 서비스 계정이란 사용자를 대신하여 작업을 수행하는, 프로젝트에 연결된 Google 계정입니다. 서비스 계정에는 사용자와 동일한 방식으로 역할과 권한이 할당됩니다.

자세한 내용은 Cloud IAM 정책 만들기를 참조하세요.

Kubernetes RBAC

Kubernetes RBAC로 Kubernetes 기본 액세스 제어 API를 사용하여 클러스터 또는 네임스페이스 수준에서 Kubernetes 리소스와 작업을 위한 세분화된 권한이 있는 역할을 만들 수 있습니다. 역할을 만든 후 역할을 사용자와 Kubernetes 서비스 계정에 할당하는 역할 결합을 만듭니다.

Kubernetes RBAC는 Kubernetes 내부의 액세스 제어에 이미 익숙하고 클라우드와 상관없는 방식의 액세스 관리를 선호하는 경우에 유용합니다.

자세한 내용은 역할 기반 액세스 제어 문서를 참조하세요.

Cloud IAM과 RBAC 중 무엇을 사용해야 하나요?

액세스 제어의 필요성을 평가할 때 어떤 액세스 제어 유형이 가장 유용할지 고려해보세요.

  • 기본 역할, 사전 정의된 역할 또는 커스텀 역할을 사용하여 리소스와 작업에 대한 액세스 권한을 부여하려면 GCP의 Cloud IAM을 사용합니다. 프로젝트 수준과 클러스터 수준에서 역할을 할당할 수 있습니다. GCP, GKE, Kubernetes의 권한을 한곳에서 함께 관리할 수 있습니다.

  • 클러스터 수준과 네임스페이스 수준에서 Kubernetes 리소스와 작업에 대한 세분화된 액세스를 구성하려면 RBAC를 사용합니다. RBAC는 Kubernetes 기본 승인 시스템이므로 다른 클라우드 및 온프레미스 환경의 클러스터에서 권한을 일관되게 관리할 수 있습니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Kubernetes Engine