IAM 정책용 정책 분석기

정책 분석기를 사용하면 IAM 허용 정책에 따라 어떤 주 구성원(예: 사용자, 서비스 계정, 그룹, 도메인)이 어떤 Google Cloud 리소스에 대해 어떤 액세스 권한을 갖는지에 관한 정보를 확인할 수 있습니다.

정책 분석기에서는 다음과 같은 항목을 확인할 수 있습니다.

• 누가 이 IAM 서비스 계정에 액세스할 수 있나요?
• 누가 개인 식별 정보(PII)가 포함된 이 BigQuery 데이터 세트의 데이터를 읽을 수 있는가?
• 이 프로젝트의 리소스에 대해 dev-testers 그룹에 포함되는 역할과 권한은 무엇인가요?
• Tal이 A 프로젝트에서 삭제할 수 있는 Compute Engine 가상 머신(VM) 인스턴스는 무엇인가요?
• 오후 7시 누가 이 Cloud Storage 버킷에 액세스할 수 있나요?

정책 분석기 작동 방식

정책 분석기를 사용하려면 분석 쿼리를 만들고, 분석 범위를 지정하고, 쿼리를 실행합니다.

분석 쿼리

정책 분석기를 사용하려면 다음 필드를 하나 이상 지정하여 분석 쿼리를 만듭니다.

• 주 구성원: 확인하려는 액세스 권한을 갖고 있는 ID(예: 사용자, 서비스 계정, 그룹, 도메인)
• 액세스: 확인하려는 권한과 역할
• 리소스: 액세스 권한을 확인하려는 리소스
• (API 전용) 조건 컨텍스트: 액세스를 확인하려는 컨텍스트(예: 해당 당일의 특정 시간)

일반적으로 분석 쿼리에서 이러한 필드를 한두 개 지정한 후 쿼리 결과를 사용해서 지정하지 않은 필드에 대한 추가 정보를 가져옵니다. 예를 들어 특정 리소스에 대해 특정 권한이 있는 사용자를 확인하고 싶으면 분석 쿼리에 액세스 및 리소스를 지정하지만 해당 주 구성원을 지정하지는 않을 것입니다.

만들 수 있는 쿼리 종류에 대한 더 많은 예시를 보려면 일반 쿼리 유형을 참조하세요.

분석 범위

분석 쿼리를 실행하려면 분석할 범위를 지정해야 합니다. 범위는 분석을 제한하려는 조직, 폴더, 프로젝트입니다. 범위로 사용되는 리소스와 종속 항목에 연결된 IAM 허용 정책만 분석됩니다.

REST API 및 gcloud CLI에서는 범위를 수동으로 지정합니다. Google Cloud 콘솔에서 범위는 현재 관리 중인 프로젝트, 폴더, 조직을 기반으로 자동으로 결정됩니다.

분석 쿼리를 만들고 범위를 지정한 후에는 쿼리를 실행하여 해당 범위에서 정책을 분석할 수 있습니다.

쿼리 결과

분석 쿼리를 실행하면 정책 분석기가 쿼리에 지정된 주 구성원, 액세스, 리소스를 포함하는 모든 역할 결합을 보고합니다. 각 역할 결합에 대해 해당 바인딩에 포함된 주 구성원, 바인딩으로 부여되는 액세스(역할 및 권한), 바인딩으로 액세스가 부여되는 리소스가 보고됩니다.

이러한 결과를 검토하여 프로젝트, 폴더, 조직에서의 액세스를 더 잘 이해할 수 있습니다. 예를 들어 특정 리소스에 액세스가 있는 주 구성원을 찾기 위해 쿼리를 실행한 경우 쿼리 결과에서 주 구성원을 검토할 수 있습니다.

쿼리 옵션을 사용 설정하여 쿼리 결과에서 정보를 조정할 수 있습니다.

지원되는 정책 유형

IAM 정책 분석기는 IAM 허용 정책만 지원합니다.

다음 형식의 액세스 제어는 정책 분석기에서 지원되지 않습니다.

• IAM 거부 정책
• Google Kubernetes Engine 역할 기반 액세스 제어
• Cloud Storage 액세스 제어 목록
• Cloud Storage 공개 액세스 방지

정책 분석기 쿼리 결과는 지원되지 않는 정책 유형을 고려하지 않습니다. 예를 들어 허용 정책으로 인해 사용자에게 프로젝트에 대한 iam.roles.get 권한이 있지만 거부 정책에서 권한을 사용하지 못한다고 가정해 보겠습니다. 정책 분석기는 거부 정책에 관계없이 iam.roles.get 권한이 있다고 보고합니다.

정책 상속

정책 상속을 고려하기 위해 정책 분석기에서는 리소스 계층 구조에서의 정책 위치에 관계없이 지정된 범위 내에서 모든 관련된 허용 정책을 자동으로 분석합니다.

예를 들어 누가 IAM 서비스 계정에 액세스할 수 있는지 찾는다고 가정해보세요.

• 쿼리 범위를 프로젝트로 지정하면 정책 분석기가 서비스 계정의 허용 정책과 프로젝트의 허용 정책을 분석합니다.
• 쿼리 범위를 조직으로 지정하면 쿼리 분석기가 서비스 계정의 허용 정책, 이 서비스 계정을 소유하는 프로젝트의 허용 정책, 이 프로젝트가 포함된 모든 폴더의 허용 정책, 조직의 허용 정책을 분석합니다.

조건부 액세스

역할 결합에 조건이 포함된 경우에는 해당 조건이 충족될 때만 주 구성원에 액세스를 부여합니다. 정책 분석기는 항상 관련 역할 결합에 연결된 조건을 보고합니다. 관련 역할 결합은 분석 쿼리에 지정한 주 구성원, 액세스, 리소스를 포함하는 역할 결합입니다.

일부 경우에는 분석기가 조건을 분석할 수도 있습니다. 즉, 조건이 충족될지 여부를 보고할 수 있습니다. 정책 분석기는 다음 유형의 조건을 분석할 수 있습니다.

• 리소스 이름을 제공하는 리소스 유형에 대한 리소스 속성 기반 조건
• 날짜/시간 조건(API 및 gcloud CLI만 해당). 정책 분석기가 이러한 조건을 분석하기 위해서는 분석 쿼리에 액세스 시간(accessTime)을 제공해야 합니다. 이 컨텍스트를 제공하는 방법을 알아보려면 특정 시간에 액세스 확인을 참조하세요.

관련 역할 결합에 조건이 포함된 경우 정책 분석기가 다음 중 하나를 수행합니다.

• 정책 분석기가 조건을 분석할 수 있으면 다음 중 하나를 수행합니다.

  • 조건이 true로 평가되면 정책 분석기가 쿼리 결과에 역할 결합을 포함하고 조건 평가를 TRUE로 표시합니다.
  • 조건이 false로 평가되면 정책 분석기가 쿼리 결과에 역할을 포함하지 않습니다.

• 정책 분석기가 관련 역할 결합의 조건을 분석할 수 없으면 쿼리 결과에 역할을 포함하고 조건 평가를 CONDITIONAL로 표시합니다.

데이터 최신 상태

정책 분석기는 최선의 노력을 통해 최신 상태의 데이터를 제공하는 Cloud 애셋 API를 사용합니다. 몇 분 만에 정책 분석기에 거의 모든 정책 업데이트가 표시되지만 최신 정책 업데이트가 포함되지 않을 수 있습니다.

일반 쿼리 유형

이 섹션에서는 분석 쿼리를 사용하여 일반적인 액세스 관련 질문에 답변하는 방법을 설명합니다.

이 리소스에 액세스할 수 있는 리소스는 무엇인가요?

리소스에 액세스할 수 있는 주 구성원을 확인하려면 해당 리소스와 선택적으로 확인하려는 역할 및 권한을 지정하는 분석 쿼리를 만듭니다.

이러한 쿼리는 다음 항목을 확인하는 데 도움이 될 수 있습니다.

• 누가 이 IAM 서비스 계정에 액세스할 수 있나요?
• 누가 이 IAM 서비스 계정을 가장할 수 있는 권한이 있나요?
• A 프로젝트의 결제 관리자가 누구인가요?
• (API 및 gcloud CLI만 해당): 누가 서비스 계정을 가장하여 A 프로젝트를 업데이트할 수 있나요?

이러한 쿼리를 만들고 전송하는 방법을 알아보려면 리소스에 액세스할 수 있는 주 구성원 확인을 참조하세요.

어떤 주 구성원에 이러한 역할 및 권한이 포함되나요?

어떤 주 구성원에 특정 역할 및 권한이 포함되는지 확인하려면 확인하려는 주 구성원과 역할 및 권한 집합을 지정하는 분석 쿼리를 만듭니다.

이러한 쿼리는 다음 항목을 확인하는 데 도움이 될 수 있습니다.

• 누구에게 조직의 서비스 계정을 가장할 수 있는 권한이 있나요?
• 누가 조직의 결제 관리자인가요?
• 누가 개인 식별 정보(PII)가 포함된 이 BigQuery 데이터 세트의 데이터를 읽을 수 있나요?
• (API 및 gcloud CLI만 해당): 조직에서 누가 서비스 계정을 가장하여 BigQuery 데이터 세트를 읽을 수 있나요?

이러한 쿼리를 만들고 전송하는 방법은 특정 역할 및 권한이 있는 주 구성원 확인을 참조하세요.

이 주 구성원이 이 리소스에 대해 갖고 있는 역할과 권한은 무엇인가요?

주 구성원이 특정 리소스에 대해 갖고 있는 역할과 권한을 확인하려면 권한을 확인하려는 주 구성원 및 리소스가 지정된 분석 쿼리를 만듭니다.

이러한 쿼리는 다음 항목을 확인하는 데 도움이 될 수 있습니다.

• 이 BigQuery 데이터 세트에 대해 Sasha 사용자에게 있는 역할과 권한은 무엇인가요?
• 이 프로젝트의 리소스에 대해 dev-testers 그룹에 포함되는 역할과 권한은 무엇인가요?
• (API 및 gcloud CLI만 해당): Dana 사용자가 서비스 계정을 가장할 경우 이 BigQuery 데이터 세트에 대해 Dana가 갖는 역할과 권한은 무엇인가요?

이러한 쿼리를 만들고 전송하는 방법은 주 구성원이 리소스에 대해 갖는 액세스 확인을 참조하세요.

이 주 구성원이 액세스할 수 있는 리소스는 무엇인가요?

특정 주 구성원이 액세스할 수 있는 리소스를 확인하려면 확인하려는 주 구성원과 역할 및 권한을 지정하는 분석 쿼리를 만듭니다.

이러한 쿼리는 다음 항목을 확인하는 데 도움이 될 수 있습니다.

• Mahan 사용자에게 읽기 권한이 있는 BigQuery 데이터 세트는 무엇인가요?
• dev-testers 그룹이 데이터 소유자인 BigQuery 데이터 세트는 무엇인가요?
• Tal이 A 프로젝트에서 삭제할 수 있는 VM은 무엇인가요?
• (API 및 gcloud CLI만 해당): John 사용자가 서비스 계정을 가장하여 삭제할 수 있는 VM은 무엇인가요?

이러한 쿼리를 만들고 전송하는 방법은 주 구성원이 액세스할 수 있는 리소스 확인을 참조하세요.

저장된 쿼리 분석

REST API를 사용하는 경우 분석 쿼리를 저장하여 재사용하거나 다른 사람과 공유할 수 있습니다. 저장된 쿼리는 다른 쿼리를 실행할 때와 같은 방법으로 실행할 수 있습니다.

쿼리 저장에 대해 자세히 알아보려면 저장된 쿼리 관리를 참조하세요.

쿼리 결과 내보내기

analyzeIamPolicyLongrunning을 사용하여 쿼리를 비동기적으로 실행하고 BigQuery 또는 Cloud Storage로 쿼리 결과를 내보낼 수 있습니다.

쿼리 결과를 BigQuery로 내보내는 방법은 BigQuery에 정책 분석 기록을 참조하세요.

쿼리 결과를 Cloud Storage로 내보내는 방법은 Cloud Storage에 정책 분석 기록을 참조하세요.

쿼리 옵션

정책 분석기는 쿼리 결과에 더 많은 세부정보를 추가하는 여러 옵션을 제공합니다.

이러한 옵션을 사용 설정하는 방법은 옵션 사용 설정을 참조하세요.

그룹 확장

그룹 확장을 사용 설정하면 쿼리 결과의 모든 그룹이 개별 구성원으로 확장됩니다. 이 확장은 그룹당 구성원 1,000명으로 제한됩니다. 충분한 그룹 권한이 있으면 중첩된 그룹도 확장됩니다. 이 옵션은 쿼리에 주 구성원을 지정하지 않는 경우에만 효과가 있습니다.

예를 들어 '누가 project-1에 대해 storage.buckets.delete 권한이 있나요?'라는 쿼리에 대해 그룹 확장을 사용 설정한다고 가정해보세요. 정책 분석기에서 storage.buckets.delete 권한이 있는 그룹을 찾으면 해당 그룹 식별자뿐만 아니라 그룹에 있는 모든 개별 구성원도 쿼리 결과에 나열됩니다.

이 옵션을 사용하면 액세스가 그룹의 멤버십 결과이더라도 개별 사용자의 액세스를 확인할 수 있습니다.

역할 확장

역할 확장을 사용 설정하면 역할 자체 외에도 각 역할 내의 모든 권한이 쿼리 결과에 나열됩니다. 이 옵션은 쿼리에 권한 또는 역할을 지정하지 않는 경우에만 사용할 수 있습니다.

예를 들어 'my-user@example.com이 bucket-1 버킷에 대해 갖는 액세스는 무엇인가요?'라는 쿼리에 대해 역할 확장을 사용 설정한다고 가정해보세요. 정책 분석기에서 my-user@example.com에 bucket-1 액세스를 부여하는 모든 역할을 찾으면 역할 이름뿐만 아니라 해당 역할에 포함된 모든 권한도 쿼리 결과에 나열됩니다.

이 옵션을 사용하면 주 구성원에 있는 권한을 정확하게 확인할 수 있습니다.

리소스 확장

정책 분석기 쿼리에 대해 리소스 확장을 사용 설정하면 모든 상위 리소스(프로젝트, 폴더, 조직)에 대한 모든 관련 하위 리소스가 쿼리 결과에 나열됩니다. 이 확장은 정책 분석기 쿼리의 경우 상위 리소스당 최대 1,000개 리소스로 제한되고, 장기 실행되는 정책 분석기 쿼리의 경우에는 상위 리소스당 최대 100,000개 리소스로 제한됩니다.

예를 들어 리소스 확장이 다음 쿼리에 어떤 영향을 주는지 고려해보세요.

• 누구에게 project-1에 대한 storage.buckets.delete 권한이 있나요?

  이 쿼리에 대해 리소스 확장을 사용 설정하면 프로젝트뿐만 아니라 프로젝트 내의 모든 스토리지 버킷도 쿼리 결과의 리소스 섹션에 나열됩니다.

• my-user@example.com에 compute.instances.setIamPolicy 권한이 있는 리소스는 무엇인가요?

  이 쿼리에 대해 리소스 확장을 사용 설정하고 정책 분석기에서 해당 권한을 포함하는 프로젝트 수준 역할이 my-user@example.com에 있는 것으로 확인되면 프로젝트뿐만 아니라 프로젝트 내의 모든 Compute Engine 인스턴스도 쿼리 결과의 리소스 섹션에 나열됩니다.

이 옵션을 사용하면 주 구성원이 액세스할 수 있는 리소스에 대해 자세히 이해할 수 있습니다.

서비스 계정 가장

REST API 또는 gcloud CLI를 사용하는 경우에는 서비스 계정 가장에 대한 분석을 사용 설정할 수 있습니다.

이 옵션을 사용 설정하면 정책 분석기가 추가 분석 쿼리를 실행하여 지정된 리소스에 대해 지정된 권한을 갖는 서비스 계정을 누가 가장할 수 있는지 확인합니다. 정책 분석기는 쿼리 결과에서 각 서비스 계정에 대해 하나의 쿼리를 실행합니다. 이러한 쿼리는 누가 서비스 계정의 다음 권한을 갖는지 분석합니다.

• iam.serviceAccounts.actAs
• iam.serviceAccounts.getAccessToken
• iam.serviceAccounts.getOpenIdToken
• iam.serviceAccounts.implicitDelegation
• iam.serviceAccounts.signBlob
• iam.serviceAccounts.signJwt

할당량 및 한도

Cloud 애셋 인벤토리는 소비자 프로젝트를 기준으로 정책 분석 요청을 포함하는 수신 요청 비율을 적용합니다. 또한 Cloud 애셋 인벤토리는 그룹 멤버십 내의 그룹 확장과 리소스 계층 구조 내의 리소스 확장을 제한합니다.

정책 분석기의 기본 할당량 및 한도를 보려면 Cloud 애셋 인벤토리 문서에서 할당량 및 한도를 참조하세요.

다음 단계

• 정책 분석기를 사용하여 허용 정책 분석을 수행하는 방법을 알아봅니다.
• REST API를 사용하여 정책 분석 쿼리 저장을 수행하는 방법을 알아봅니다.