서비스 계정 사용 제한

Resource Manager는 조직 정책에서 Cloud Identity and Access Management 서비스 계정의 사용을 제한하는 데 사용할 수 있는 제약조건을 제공합니다.

이러한 제약조건을 설정하면 향후 서비스 계정을 만들고 수정할 때 적용됩니다. 이러한 제약조건은 소급 적용되지 않으며 이전에 만들어서 구성한 서비스 계정에는 영향을 주지 않습니다.

서비스 계정 생성 사용 중지

iam.disableServiceAccountCreation 부울 제약조건을 사용하여 새로운 서비스 계정 생성을 사용 중지할 수 있습니다. 이렇게 하면 개발자가 프로젝트에 대해 갖는 다른 권한을 제한하지 않으면서 서비스 계정을 중앙에서 관리할 수 있습니다.

서비스 계정 키 생성 사용 중지

iam.disableServiceAccountKeyCreation 부울 제약조건을 사용하여 새로운 외부 서비스 계정 키 생성을 사용 중지할 수 있습니다. 이렇게 하면 서비스 계정에 대한 장기 비관리 사용자 인증 정보의 사용을 제어할 수 있습니다. 이 제약조건이 설정되면 제약조건의 영향을 받는 프로젝트에서 서비스 계정에 대해 사용자 관리 사용자 인증 정보를 만들 수 없습니다.

정책 설정

서비스 계정 제한 제약조건은 부울 제약조건의 한 유형입니다.

이 제약조건을 설정하려면 조직 정책을 수정할 권한이 있어야 합니다. 예를 들어 resourcemanager.organizationAdmin 역할은 조직 정책 제약조건을 설정할 권한이 있습니다. 조직 수준에서 정책을 관리하는 방법에 대해서는 제약조건 사용 페이지에서 자세히 알아보세요.

콘솔

서비스 계정 키 생성을 사용 중지하는 제약조건을 포함하는 조직 정책을 설정하는 방법은 다음과 같습니다.

  1. Google Cloud Platform 콘솔의 조직 정책 페이지로 이동합니다.

    조직 정책 페이지로 이동

  2. 페이지 상단의 조직 드롭다운 목록을 클릭한 다음 조직을 선택합니다.
  3. 서비스 계정 생성 사용 중지 또는 서비스 계정 키 생성 사용 중지를 클릭합니다.
  4. 수정 버튼을 클릭합니다.
  5. 적용 대상에서 맞춤설정을 선택합니다.
  6. 시행에서 사용을 선택합니다.
  7. 저장을 클릭합니다. 정책이 업데이트되었음을 확인하는 알림이 나타납니다.

gcloud

정책은 gcloud 명령줄 도구를 통해 설정할 수 있습니다.

서비스 계정 생성을 사용 중지하려면 다음 명령어를 실행합니다.

gcloud alpha resource-manager org-policies enable-enforce \
    --organization 'ORGANIZATION_ID' \
    iam.disableServiceAccountCreation

서비스 계정 키 생성을 사용 중지하려면 다음 명령어를 실행합니다.

gcloud alpha resource-manager org-policies enable-enforce \
    --organization 'ORGANIZATION_ID' \
    iam.disableServiceAccountKeyCreation

정책을 사용 중지하려면 동일한 명령어를

disable-enforce
명령어와 함께 사용할 수 있습니다.

조직 정책의 제약조건을 사용하는 방법은 제약조건 사용을 참조하세요.

정책 예

다음 코드 스니펫은 서비스 계정 생성 사용 중지 제약조건을 포함하는 조직 정책을 보여줍니다.

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.disableServiceAccountCreation"
  etag: "\a\005L\252\122\321\946\334"
  boolean_policy {
  enforced: true
  }
}

다음 코드 스니펫은 서비스 계정 키 생성 사용 중지 제약조건을 포함하는 조직 정책을 보여줍니다.

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.disableServiceAccountKeyCreation"
  etag: "\a\005L\252\122\321\946\334"
  boolean_policy {
  enforced: true
  }
}

오류 메시지

서비스 계정 생성 사용 중지

iam.disableServiceAccountCreation이 시행되면 서비스 계정 생성은 다음 오류가 표시되며 실패합니다.

FAILED_PRECONDITION: Service account creation is not allowed on this project.

서비스 계정 키 생성 사용 중지

iam.disableServiceAccountKeyCreation이 시행되면 서비스 계정 생성은 다음 오류가 표시되며 실패합니다.

FAILED_PRECONDITION: Key creation is not allowed on this service account.

알려진 문제 해결

기본 서비스 계정

iam.disableServiceAccountCreation 제약조건을 적용하면 해당 프로젝트에서 서비스 계정을 만들 수 없습니다. 이 제한사항은 사용 설정 시 프로젝트에서 자동으로 기본 서비스 계정을 생성하는 다음과 같은 GCP 서비스에도 영향을 줍니다.

  • Compute Engine
  • GKE
  • App Engine
  • Cloud Dataflow

iam.disableServiceAccountCreation 제약조건이 적용되면 기본 서비스 계정을 생성할 수 없으므로 이러한 서비스를 사용 설정할 수 없습니다.

이 문제를 해결하려면 다음 단계를 따르세요.

  1. iam.disableServiceAccountCreation 제약조건을 일시적으로 제거합니다.
  2. 원하는 서비스를 사용 설정합니다.
  3. 원하는 서비스 계정을 만듭니다.
  4. 마지막으로 제약조건을 다시 적용합니다.
이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서