Policy Intelligence 개요

대규모 조직에서는 리소스 제어 및 액세스 관리를 위해 광범위한 Google Cloud 정책 집합을 보유하고 있는 경우가 많습니다. Policy Intelligence 도구를 사용하면 정책을 이해하고 관리하여 사전에 보안 구성을 개선할 수 있습니다.

다음 섹션에서는 Policy Intelligence 도구로 할 수 있는 작업을 설명합니다.

정책 및 사용 이해

정책으로 허용되는 액세스와 정책 사용 방법을 이해하는 데 도움이 되는 몇 가지 Policy Intelligence 도구가 있습니다.

액세스 분석

Cloud 애셋 인벤토리는 IAM 허용 정책을 기준으로 어떤 주 구성원이 어떤 Google Cloud 리소스에 액세스할 수 있는지 확인할 수 있는 IAM 허용 정책에 대한 정책 분석 도구를 제공합니다.

정책 분석기는 다음 항목을 확인하는 데 도움이 됩니다.

• '누가 이 IAM 서비스 계정에 액세스할 수 있나요?'
• '이 BigQuery 데이터 세트에 대한 이 사용자의 역할과 권한은 무엇인가요?'
• '이 사용자에게는 어떤 BigQuery 데이터 세트를 읽을 수 있는 권한이 있나요?'

정책 분석 도구는 이러한 항목을 확인하여 효율적인 액세스 관리를 도와줍니다. 또한 감사 및 규정 준수 관련 태스크에도 정책 분석 도구를 사용할 수 있습니다.

허용 정책에 대한 정책 분석 도구에 대해 자세히 알아보려면 정책 분석 도구 개요를 참조하세요.

허용 정책에 대한 정책 분석기를 사용하는 방법을 알아보려면 IAM 정책 분석을 참조하세요.

조직 정책 분석

Policy Intelligence는 조직 정책에 대한 정책 분석 도구를 제공합니다. 이를 통해 분석 쿼리를 만들어 커스텀 및 사전 정의된 조직 정책에 대한 정보를 가져올 수 있습니다.

정책 분석 도구를 사용하여 특정 제약조건이 있는 조직 정책 및 해당 정책이 연결된 리소스의 목록을 반환할 수 있습니다.

조직 정책에 정책 분석 도구를 사용하는 방법은 기존 조직 정책 분석을 참조하세요.

액세스 문제 해결

액세스 문제를 확인하고 해결하기 위해 정책 Policy Intelligence는 다음과 같은 문제 해결 도구를 제공합니다.

• Identity and Access Management 정책 문제 해결 도구
• VPC 서비스 제어 문제 해결 도구
• BeyondCorp Enterprise 정책 문제 해결 도구

액세스 문제 해결 도구는 다음과 같이 '이유를 묻는' 질문에 답할 수 있게 해줍니다.

• '이 사용자에게 이 BigQuery 데이터 세트에 대한 bigquery.datasets.create 권한이 있는 이유는 무엇인가요?'
• '이 사용자가 이 Cloud Storage 버킷의 허용 정책을 볼 수 없는 이유는 무엇인가요?'

이러한 문제 해결 도구에 대해 자세히 알아보려면 액세스 관련 문제 해결 도구를 참조하세요.

사용자 계정 사용 및 권한 이해

서비스 계정은 Google Cloud에서 애플리케이션 인증을 위해 사용할 수 있는 특별한 주 구성원 유형입니다.

서비스 계정 사용에 관한 이해를 돕기 위해 Policy Intelligence는 다음과 같은 기능을 제공합니다.

• 활동 분석기: 활동 분석기를 사용하면 Google API 호출을 위해 서비스 계정 및 키가 마지막으로 사용된 시기를 확인할 수 있습니다. 활동 분석기 사용 방법을 알아보려면 서비스 계정 및 키에 대한 최근 사용 보기를 참조하세요.

• 서비스 계정 통계: 서비스 계정 통계는 프로젝트에서 지난 90일 동안 사용되지 않은 서비스 계정을 식별하는 통계 유형입니다. 서비스 계정 통계를 관리하는 방법을 알아보려면 사용되지 않은 서비스 계정 찾기를 참조하세요.

서비스 계정 권한에 관한 이해를 돕기 위해 Policy Intelligence는 측면 이동 통계를 제공합니다. 측면 이동 통계는 한 프로젝트의 서비스 계정이 다른 프로젝트의 서비스 계정을 가장할 수 있게 해주는 역할을 식별하는 통계 유형입니다. 측면 이동 통계에 대한 자세한 내용은 측면 이동 통계 생성 방법을 참조하세요. 측면 이동 통계를 관리하는 방법을 알아보려면 측면 이동 권한이 있는 서비스 계정 식별을 참조하세요.

측면 이동 통계는 경우에 따라 역할 권장사항과 연결됩니다. 역할 권장사항은 측면 이동 통계로 식별된 문제를 해결하기 위해 수행할 수 있는 작업을 추천합니다.

정책 개선

역할 권장사항을 사용하여 IAM 허용 정책을 개선할 수 있습니다. 역할 권장사항은 주 구성원에게 실제로 필요한 권한만 부여하여 최소 권한의 원칙을 적용하는 데 도움이 됩니다. 각 역할 권장사항은 주 구성원에게 초과 권한을 부여하는 IAM 역할을 삭제하거나 대체할 것을 제안합니다.

역할 생성 방법을 포함한 역할 권장사항에 대한 자세한 내용은 역할 권장사항으로 최소 권한 적용을 참조하세요.

역할 권장사항을 관리하는 방법은 다음 가이드 중 하나를 참조하세요.

• 프로젝트, 폴더, 조직에 대한 역할 추천 검토 및 적용
• Cloud Storage 버킷의 역할 권장사항 검토 및 적용
• BigQuery 데이터 세트의 역할 권장사항 검토 및 적용

정책 구성 오류 방지

정책 변경이 조직에 미치는 영향을 확인하기 위해 사용할 수 있는 몇 가지 Policy Intelligence 도구가 몇 종류 있습니다. 변경 효과를 확인한 후 변경 여부를 결정할 수 있습니다.

IAM 허용 정책 변경사항 테스트

IAM 허용 정책에 대한 정책 시뮬레이터를 사용하면 변경사항을 커밋하기 전에 IAM 허용 정책 변경사항이 주 구성원 액세스에 어떠한 영향을 미치는지 확인할 수 있습니다. 정책 시뮬레이터를 사용하면 변경사항으로 인해 주 구성원에게 필요한 액세스 권한이 손실되지 않도록 할 수 있습니다.

IAM 허용 정책에 대한 변경사항이 주 구성원의 액세스에 미치는 영향을 확인하기 위해 정책 시뮬레이터는 이전 90일 동안 제안된 허용 정책 및 현재 허용 정책에 다른 결과를 가져온 액세스 시도를 찾습니다. 그런 다음 이러한 결과를 액세스 변경사항 목록으로 보고합니다.

정책 시뮬레이터에 대한 자세한 내용은 IAM 정책 시뮬레이터 개요를 참조하세요.

정책 시뮬레이터를 사용하여 역할 변경을 테스트하는 방법을 알아보려면 IAM 정책 시뮬레이터로 역할 변경 테스트를 참조하세요.

조직 정책 변경사항 테스트

조직 정책에 대한 정책 시뮬레이터를 사용하면 프로덕션 환경에 적용하기 전 커스텀 제약조건을 시행하는 새 커스텀 제약조건 또는 조직 정책의 영향을 미리 볼 수 있습니다.

정책 시뮬레이터는 시행되기 전에 제안된 정책을 위반하는 리소스 목록을 제공하므로 개발 작업을 중단하거나 환경을 종료하지 않고 리소스를 다시 구성하거나 예외를 요청하고 조직 정책의 범위를 변경할 수 있습니다.

정책 시뮬레이터를 사용하여 조직 정책에 대한 변경사항을 테스트하는 방법은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.