이 페이지에서는 Security Command Center가 Identity and Access Management(IAM)를 사용하여 서로 다른 리소스 계층 구조에서 리소스에 대해 액세스를 제어하는 방법을 설명합니다.
Security Command Center는 IAM 역할을 사용하여 Security Command Center 환경에서 애셋, 발견 항목, 보안 서비스로 수행할 수 있는 사용자를 제어할 수 있도록 합니다. 개인 및 애플리케이션에 역할을 부여하고, 각 역할은 특정 권한을 제공합니다.
Security Command Center 프리미엄은 조직, 폴더, 프로젝트 수준에서 IAM 역할 부여를 지원합니다. Security Command Center 표준은 조직 수준에서 역할 부여만 지원합니다.
권한
Security Command Center를 설정하거나 조직의 구성을 변경하려면 조직 수준에서 다음 두 역할이 모두 필요합니다.
- 조직 관리자(
roles/resourcemanager.organizationAdmin) - 보안 센터 관리자(
roles/securitycenter.admin)
사용자에게 수정 권한이 필요하지 않으면 뷰어 역할을 부여하는 것이 좋습니다. Security Command Center에서 모든 애셋 및 발견 항목을 보려면 조직 수준의 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer) 역할이 필요합니다. 설정도 확인해야 하는 사용자는 조직 수준의 보안 센터 관리자(roles/securitycenter.admin) 역할이 필요합니다.
개별 폴더 및 프로젝트에 대한 액세스를 제한하려면 조직 수준에서 모든 역할을 부여하지 마세요. 대신 폴더 또는 프로젝트 수준에서 다음 역할을 부여합니다.
- 보안 센터 애셋 뷰어(
roles/securitycenter.assetsViewer) - 보안 센터 발견 항목 뷰어(
roles/securitycenter.findingsViewer)
조직 수준 역할
조직 수준에서 IAM 역할이 적용되면 조직 아래의 프로젝트 및 폴더가 역할과 해당 권한을 상속합니다.
다음 그림은 조직 수준에서 부여된 역할이 있는 일반적인 Security Command Center 리소스 계층 구조를 보여줍니다.
IAM 역할에는 리소스 보기, 수정, 업데이트, 생성 또는 삭제 권한이 포함됩니다. Security Command Center에서 조직 수준에서 부여된 역할은 사용자가 조직 전체에서 발견 항목, 애셋, 보안 소스에 대해 사전 정의된 작업을 수행할 수 있도록 해줍니다. 예를 들어 보안 센터 발견 항목 편집자 역할(roles/securitycenter.findingsEditor)이 부여된 사용자는 조직의 모든 프로젝트 또는 폴더에서 리소스에 연결된 발견 항목을 보거나 수정할 수 있습니다.
이 구조를 사용하면 각 폴더 또는 프로젝트에서 사용자에게 역할을 부여할 필요가 없습니다.
역할 및 권한 관리에 대한 안내는 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
조직 수준 역할은 모든 액세스 사례에 적합하지는 않으며, 특히 엄격한 액세스 제어가 필요한 민감한 애플리케이션 또는 규정 준수 표준이 있어야 합니다. 세밀하게 조정된 액세스 정책을 만들기 위해서는 Security Command Center 프리미엄을 사용하여 폴더 및 프로젝트 수준에서 역할을 부여할 수 있습니다.
폴더 및 프로젝트 역할
Security Command Center 프리미엄을 사용하면 특정 폴더 및 프로젝트에 대해 Security Command Center IAM 역할을 부여하여 조직 내에서 여러 뷰 또는 사일로를 만들 수 있습니다. 조직 내에서 여러 폴더 및 프로젝트에 대해 서로 다른 액세스 및 수정 권한을 사용자 및 그룹에 부여합니다.
다음 동영상에서는 폴더 및 프로젝트 수준 역할에 대한 Security Command Center 프리미엄 지원과 대시보드에서 이를 관리하는 방법을 설명합니다.
폴더 및 프로젝트 역할을 통해 Security Command Center 역할이 있는 사용자는 지정된 프로젝트 또는 폴더 내에서 애셋 및 발견 항목을 관리할 수 있습니다. 예를 들어 보안 엔지니어는 일부 폴더 및 프로젝트에 대한 제한된 액세스 권한을 부여받을 수 있지만 보안 관리자는 조직 수준의 모든 리소스를 관리할 수 있습니다.
폴더 및 프로젝트 역할을 통해 조직의 리소스 계층 구조의 하위 수준에 Security Command Center 권한을 적용할 수 있지만, 계층 구조를 변경하지는 않습니다. 다음 그림은 특정 프로젝트의 발견 항목에 액세스할 수 있는 Security Command Center 권한이 있는 사용자를 보여줍니다.
폴더 및 프로젝트 역할이 있는 사용자는 조직 리소스의 하위 집합을 볼 수 있습니다. 사용자가 수행하는 모든 작업은 동일한 범위로 제한됩니다. 예를 들어 사용자가 폴더에 대한 권한이 있는 경우 폴더 내 모든 프로젝트의 리소스에 액세스할 수 있습니다. 프로젝트 권한이 있으면 사용자가 해당 프로젝트에 있는 리소스에 액세스할 수 있습니다.
역할 및 권한 관리에 대한 안내는 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
역할 제한
폴더 또는 프로젝트 수준에서 Security Command Center 역할을 부여하면 Security Command Center 프리미엄 관리자가 다음을 수행할 수 있습니다.
- 특정 폴더 및 프로젝트에 대한 Security Command Center 보기 또는 수정 권한을 제한합니다.
- 특정 사용자 또는 팀에 애셋 또는 발견 항목 그룹에 대한 보기 및 수정 권한을 부여합니다.
- 보안 표시 업데이트 및 발견 항목 상태를 포함하여 발견 항목 세부정보를 보거나 수정할 수 있는 기능을 기본 발견 항목에 대해 액세스 권한이 있는 개인 또는 그룹으로 제한합니다.
- 조직 수준 역할이 있는 개인만 볼 수 있도록 Security Command Center 설정에 대한 액세스를 제어합니다.
Security Command Center 함수
Security Command Center 프리미엄 기능도 보기 및 수정 권한을 기준으로 제한됩니다.
Security Command Center 대시보드를 사용하면 조직 수준의 권한이 없는 사용자가 액세스할 수 있는 리소스를 선택할 수 있습니다. 이 선택은 애셋, 발견 항목, 설정 제어를 포함한 사용자 인터페이스의 모든 요소를 업데이트합니다. 사용자는 역할에 연결된 권한과 현재 범위에서 발견 항목에 액세스하거나 수정할 수 있는지 여부를 확인할 수 있습니다.
또한 Security Command Center API 및 Google Cloud CLI는 함수를 사전 정의된 폴더와 프로젝트로 제한합니다. 사용자에게 권한이 부여된 폴더 또는 프로젝트 역할로 애셋 및 발견 항목을 나열하거나 그룹화하도록 호출이 수행되면 해당 범위의 발견 항목 또는 애셋만 반환됩니다.
발견 항목 및 발견 항목 알림을 만들거나 업데이트하는 호출은 조직 범위만 지원합니다. 이러한 태스크를 수행하려면 조직 수준의 역할이 필요합니다.
발견 항목의 상위 리소스
일반적으로 발견 항목은 가상 머신(VM)이나 방화벽과 같은 리소스에 연결됩니다. Security Command Center는 발견 항목을 생성한 리소스에 대해 가장 즉각적인 컨테이너에 발견 항목을 연결합니다. 예를 들어 VM이 발견 항목을 생성하는 경우 VM이 포함된 프로젝트에 발견 항목이 연결됩니다. Google Cloud 리소스에 연결되지 않은 발견 항목은 조직에 연결되며 조직 수준의 Security Command Center 권한을 가진 모든 사용자에게 표시됩니다.
Security Command Center의 IAM 역할
다음은 Security Command Center에 사용 가능한 IAM 역할 목록과 여기에 포함된 권한입니다. Security Command Center 프리미엄은 조직, 폴더 또는 프로젝트 수준에서 이러한 역할을 부여할 수 있도록 지원합니다. Security Command Center 표준은 조직 수준에서 IAM 역할 부여만 지원합니다.
| 역할 | 권한 |
|---|---|
|
보안 센터 관리자
보안 센터에 대한 관리자(수퍼유저) 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 관리자 편집자
보안 센터에 대한 관리자 읽기 및 쓰기 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 관리자 뷰어
보안 센터에 대한 관리자 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 애셋 보안 표시 작성자
애셋 보안 표시에 대한 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 애셋 검색 실행자
애셋에 대한 애셋 검색 실행 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 애셋 뷰어
애셋에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 BigQuery Export 편집자
보안 센터 BigQuery Export에 대한 읽기/쓰기 액세스 권한입니다. |
|
|
보안 센터 BigQuery Export 뷰어
보안 센터 BigQuery Export에 대한 읽기 액세스 권한입니다. |
|
|
보안 센터 외부 시스템 편집자 보안 센터 외부 시스템에 대한 쓰기 액세스 권한입니다. |
|
|
보안 센터 발견 항목 보안 표시 작성자
발견 항목 보안 표시에 대한 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 발견 항목 일괄 숨기기 편집자
발견 항목을 일괄적으로 숨길 수 있습니다. |
|
|
보안 센터 발견 항목 편집자
발견 항목에 대한 읽기 및 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 발견 항목 숨기기 설정자
발견 항목에 대한 음소거 액세스 권한을 설정합니다. |
|
|
보안 센터 발견 항목 상태 설정자
발견 항목에 대한 상태 설정 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 발견 항목 뷰어
발견 항목에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 발견 항목 워크플로 상태 설정자
베타
발견 항목에 대한 워크플로 상태 액세스 권한을 설정합니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 숨기기 구성 편집자 보안 센터 숨기기 구성에 대한 읽기/쓰기 액세스 권한입니다. |
|
|
보안 센터 숨기기 구성 뷰어
보안 센터 숨기기 구성에 대한 읽기 액세스 권한입니다. |
|
|
보안 센터 알림 구성 편집자
알림 구성에 대한 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 알림 구성 뷰어
알림 구성에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 설정 관리자
보안 센터 설정에 대한 관리자(수퍼유저) 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 설정 편집자
보안 센터 설정에 대한 읽기 및 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 설정 뷰어
보안 센터 설정에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 소스 관리자
소스에 대한 관리자 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 소스 편집자
소스에 대한 읽기 및 쓰기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
보안 센터 소스 뷰어
소스에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
역할: 보안 센터 서비스 에이전트
Security Command Center를 사용 설정하면 service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다.
Security Command Center를 사용하려면 조직 수준에서 서비스 계정에 securitycenter.serviceAgent 역할을 부여해야 합니다. 이 역할을 사용 설정하면 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터의 자체 복사본을 지속적으로 만들고 업데이트할 수 있습니다.
Security Command Center의 온보딩 프로세스 과정에서 서비스 계정에 이 역할을 부여해야 합니다. 온보딩 인터페이스를 통해 필요한 모든 역할을 부여하거나 gcloud를 사용하여 역할을 직접 부여할 수 있습니다. 서비스 계정에 역할을 부여하는 방법은 권한 부여를 참조하세요.
securitycenter.serviceAgent 역할에는 다음 권한이 포함됩니다.
| 역할 | 이름 | 설명 | 권한 | 최하위 리소스 |
|---|---|---|---|---|
roles/securitycenter.serviceAgent |
보안 센터 서비스 에이전트 | Google Cloud 리소스를 스캔하고 보안 스캔을 가져올 수 있는 액세스 권한입니다. |
다음 역할의 모든 권한:
다음과 같은 추가 권한이 필요합니다.
|
조직 |
roles/securitycenter.serviceAgent를 추가하려면 roles/resourcemanager.organizationAdmin이 있어야 합니다. 다음을 실행하여 서비스 계정에 역할을 추가할 수 있습니다.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com" \
--role="roles/securitycenter.serviceAgent"
ORGANIZATION_ID를 조직 ID로 바꿉니다.
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.
Web Security Scanner
IAM 역할은 Web Security Scanner 사용 방법을 규정합니다. 아래 표에는 Web Security Scanner에서 사용할 수 있는 각 IAM 역할과 해당 역할에 사용할 수 있는 메서드가 나와 있습니다. 프로젝트 수준에서 이러한 역할을 부여합니다. 사용자에게 보안 스캔을 만들고 관리할 수 있는 기능을 제공하려면 프로젝트에 사용자를 추가하고 역할을 사용하여 권한을 부여합니다.
Web Security Scanner는 기본 역할과 사전 정의된 역할을 지원하며 Web Security Scanner 리소스에 대한 액세스 권한을 더욱 세부적으로 제공합니다.
기본 IAM 역할
다음은 기본 역할로 부여되는 Web Security Scanner 권한을 설명합니다.
| 역할 | 설명 |
|---|---|
| 소유자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
| 편집자 | 모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. |
| 뷰어 | Web Security Scanner에 대한 액세스 권한이 없습니다. |
사전 정의된 IAM 역할
다음은 Web Security Scanner 역할에 의해 부여되는 Web Security Scanner 권한을 설명합니다.
| 역할 | 권한 |
|---|---|
|
Web Security Scanner 편집자
모든 Web Security Scanner 리소스에 대한 전체 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
Web Security Scanner 실행자
스캔 및 스캔 실행에 대한 읽기 액세스 권한이며 스캔을 시작할 수 있습니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
|
Web Security Scanner 뷰어
모든 Web Security Scanner 리소스에 대한 읽기 액세스 권한입니다. 이 역할을 부여할 수 있는 최하위 수준 리소스:
|
|
IAM 역할에 대한 자세한 내용은 역할 이해를 참조하세요.