액세스 제어 개요

Google Cloud 프로젝트를 만들면 만든 사람이 프로젝트의 유일한 사용자가 됩니다. 기본적으로 다른 사용자는 Google Kubernetes Engine 리소스를 비롯해 프로젝트나 프로젝트 리소스에 액세스할 수 없습니다. Google Kubernetes Engine은 역할 기반 액세스 제어(RBAC)를 통해 프로젝트와 프로젝트 클러스터 내 리소스에 액세스를 관리할 수 있는 여러 가지 옵션을 지원합니다.

이들 메커니즘의 일부는 기능적으로 중복되지만 서로 다른 유형의 리소스를 대상으로 합니다. 다음은 이들 각각에 대한 간략한 설명입니다.

  • Kubernetes에서 기본 제공되는 Kubernetes RBAC는 Kubernetes 클러스터 내 객체에 세분화된 권한을 부여합니다. 이러한 권한은 클러스터 내 ClusterRole 객체 또는 Role 객체로 존재합니다. RoleBinding 객체는 Kubernetes 사용자, Google Cloud 사용자, Google Cloud 서비스 계정, Google 그룹스(베타)에 역할을 부여합니다.

    주로 GKE를 사용하고 클러스터 내 모든 객체 및 작업에 세분화된 권한이 필요한 경우 Kubernetes RBAC를 사용하는 것이 가장 좋습니다.

  • Cloud IAM은 클러스터 및 클러스터 내 객체 유형을 포함한 Google Cloud 리소스를 관리합니다. Google Cloud, G Suite, Cloud ID에 있는 Cloud IAM 구성원에게 권한을 할당합니다.

    Cloud IAM 내의 특정 Kubernetes 객체에 권한을 부여하는 메커니즘은 없습니다. 예를 들어 사용자에게 CustomResourceDefinition(CRD)을 만들 수 있는 권한을 부여할 수 있지만 특정 CustomResourceDefinition 한 개만 만들 수 있는 권한을 부여할 수는 없습니다. 또한 프로젝트의 특정 클러스터 또는 특정 네임스페이스로 생성을 제한할 수도 없습니다. Cloud IAM 역할은 프로젝트의 모든 클러스터 또는 모든 하위 프로젝트의 모든 클러스터(역할이 폴더 수준에서 적용되는 경우)에 권한을 부여합니다.

    여러 가지 Google Cloud 구성요소를 사용하면서 세분화된 Kubernetes 관련 권한을 관리할 필요가 없으면 Cloud IAM을 사용하는 것이 좋습니다.

Kubernetes RBAC

Kubernetes에는 Kubernetes 클러스터 내에 있는 세분화된 역할을 만들 수 있는 RBAC 지원 기능이 기본 제공됩니다. 역할은 특정 Kubernetes 객체 또는 특정 유형의 Kubernetes 객체를 대상으로 할 수 있으며 지정된 객체와 관련하여 역할에서 부여하는 작업(동사라고 함)을 정의합니다. RoleBinding도 Kubernetes 객체이며 사용자에게 역할을 부여합니다. GKE에서 사용자는 다음 중 하나일 수 있습니다.

  • Google Cloud 사용자
  • Google Cloud 서비스 계정
  • Kubernetes 서비스 계정
  • G Suite 사용자
  • G Suite Google 그룹스(베타)

자세한 내용은 역할 기반 액세스 제어를 참조하세요.

Cloud IAM

Cloud IAM을 통해 역할을 정의하고 이를 구성원에게 할당할 수 있습니다. 역할은 권한 모음이며, 구성원에게 할당되는 경우 하나 이상의 Google Cloud 리소스에 대한 액세스를 제어합니다. 역할은 크게 3가지 카테고리로 나뉩니다.

구성원은 다음 중 하나일 수 있습니다.

  • Google 계정
  • 서비스 계정
  • Google 그룹
  • G Suite 도메인
  • Cloud ID 도메인

Cloud IAM 정책은 하나 이상의 Google Cloud 구성원에게 권한 집합을 할당합니다.

또한 Cloud IAM을 사용하여 서비스 계정을 만들고 구성할 수 있습니다. 서비스 계정은 사용자를 대신하여 작업을 수행할 수 있는 프로젝트와 연결된 Google Cloud 계정입니다. 서비스 계정에는 사용자와 동일한 방식으로 역할과 권한이 할당됩니다.

서비스 계정은 다른 기능도 제공합니다. 자세한 내용은 Cloud IAM 정책 만들기를 참조하세요.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Kubernetes Engine 문서