IAM으로 액세스 제어

이 페이지에서는 클라우드 고객 관리의 지원 서비스에 대한 액세스 제어를 구성하는 방법을 설명합니다.

시작하기 전에

Identity and Access Management(IAM)란 무엇인가요?

Google Cloud는 사용자가 특정 Google Cloud 리소스에 대한 더 세부적인 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있는 IAM을 제공합니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

IAM을 사용하면 IAM 정책을 설정하여 누가(ID) 어떤 리소스에 대한 어떤 액세스 권한(역할)을 갖는지 제어할 수 있습니다. IAM 정책은 주 구성원에게 특정 역할을 부여하여 주 구성원에게 특정 권한을 줍니다. 예를 들어 프로젝트와 같은 특정 리소스의 경우 Google 계정에 기술 지원 뷰어 역할(roles/cloudsupport.techSupportViewer)을 할당할 수 있고 이 계정은 프로젝트에서 지원 기록을 볼 수 있지만 관리할 수는 없습니다.

액세스 관련 고려사항

실버, 골드 또는 플래티넘 지원에서 전환했다면 Google Cloud Support Center(GCSC)를 통해 지원 케이스에 액세스할 수 없습니다. 스탠더드, 향상, 프리미엄 지원을 사용 설정한 후에는 사용자, 그룹 또는 도메인에 IAM 역할을 부여하여 전환된 케이스에 대한 액세스를 관리할 수 있습니다.

조직 수준 케이스

고객 지원 케이스는 조직 또는 프로젝트 내에서 만들 수 있습니다.

조직 수준 케이스를 관리하려면 사용자에게 조직 수준의 resourcemanager.organizations.get 권한이 있어야 합니다. 그렇지 않으면 Google Cloud 콘솔에서 조직을 선택할 수 없습니다.

이 권한을 부여하는 가장 간단한 방법은 사용자에게 조직에 대한 roles/resourcemanager.organizationViewer 역할을 부여하는 것입니다. 이 역할은 resourcemanager.organizations.get 권한만 부여합니다.

참고: 사용자에게 Organization Viewer 역할을 부여하는 것은 사용자에게 조직 수준의 Viewer 역할을 부여하는 것과 다릅니다. 이 지점에서 혼동이 자주 발생합니다. Organization Viewer 역할은 사용자에게 조직 내의 리소스를 볼 수 있는 액세스 권한을 제공하지 않으며 조직이 존재하는 것만 볼 수 있는 권한을 부여합니다.

또한 사용자는 다음 섹션에 설명된 관련 기술 지원 IAM 권한이 있어야 합니다.

고객 관리 IAM 역할

IAM을 사용하는 경우 모든 지원 사용자에게 케이스 및 사용자를 보고 관리할 수 있는 적절한 권한이 있어야 합니다. 사용자는 IAM 역할, 역할에 속한 그룹, 역할에 할당된 도메인에 추가할 때 이러한 권한을 얻습니다.

다음 표에는 클라우드 고객 관리 사용자가 사용할 수 있는 IAM 역할, 관련 권한이 어떤 리소스에 해당하는지, 권한을 적용할 수 있는 가장 낮은 리소스 수준이 나와 있습니다.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

역할에 사용자, 그룹 또는 도메인을 추가하려면 IAM 역할 부여를 참조하세요.

지원 계정 관리자

지원 계정 관리자 역할이 있는 사용자(roles/cloudsupport.admin)는 구매한 지원 서비스와 결제 방식을 관리할 수 있습니다.

지원 계정 관리자는 다음을 포함하여 조직의 지원 계정과 관련된 정책을 관리해야 할 책임이 있습니다.

  • 새 지원 사용자 할당
  • 기존 지원 사용자의 역할 수정
  • 지원 결제 관리

이 역할은 조직 수준에서만 부여됩니다.

지원 계정 뷰어

지원 계정 뷰어 역할(roles/cloudsupport.viewer)은 서비스의 계정 정보를 볼 수 있습니다. 지원 계정 뷰어는 지원 케이스를 보거나 수정할 수 없으며, 이러한 작업을 수행하려면 기술 지원 뷰어 또는 편집자 역할을 할당받아야 합니다.

이 역할은 조직 수준에서만 부여됩니다.

기술 지원 편집자

기술 지원 편집자 역할(roles/cloudsupport.techSupportEditor)은 케이스 보기, 생성, 업데이트, 에스컬레이션, 종료 등 지원 기록을 관리할 수 있습니다.

조직, 폴더, 프로젝트 수준에서 이 역할을 부여할 수 있습니다. 예를 들어 특정 프로젝트의 Google 그룹에 기술 지원 편집자 역할을 부여하면 그룹의 모든 구성원이 해당 프로젝트의 지원 기록을 관리할 수 있습니다.

리소스 계층 구조의 여러 수준에서 이 역할을 부여하여 중첩된 리소스에 다른 권한을 설정할 수도 있습니다. 예를 들어 조직의 기술 지원 뷰어 역할과 프로젝트의 기술 지원 편집자 역할이 있으면 조직 전체의 지원 기록을 볼 수 있지만 프로젝트의 케이스만 수정할 수 있습니다.

기술 지원 뷰어

기술 지원 뷰어 역할(roles/cloudsupport.techSupportViewer)은 지원 기록과 계정 정보를 볼 수 있습니다.

조직, 프로젝트, 폴더 수준에서 이 역할을 설정할 수 있습니다. 예를 들어 프로젝트 내 특정 폴더에 있는 Google 그룹에 기술 지원 뷰어 역할을 부여하면 그룹 구성원이 폴더의 지원 기록을 볼 수 있습니다.

IAM 역할 부여

고객 관리 IAM 역할에 사용자를 추가하려면 조직의 사용자, Google 그룹스 또는 도메인에 resourcemanager.organizations.setIamPolicy 권한이 있어야 합니다. 사용자나 그룹에 조직 관리자 역할(roles/resourcemanager.organizationAdmin)을 부여하면 권한을 부여할 수 있습니다.

예를 들어, 조직에서 지원 계정 관리자 역할이 부여된 사용자가 다른 고객 관리 IAM 역할에서 사용자 및 그룹을 추가 및 제거하는 작업 또한 수행할 수 있게 하려면 조직 관리자는 다음을 수행할 수 있습니다.

  • 사용자의 Google 그룹(MyCompanySupportAdmins)을 만듭니다.
  • Google 그룹(MyCompanySupportAdmins)에 조직 관리자 역할을 할당합니다.
  • Google 그룹(MyCompanySupportAdmins)에 지원 계정 관리자 역할을 할당합니다.

위 예시에서 Google 그룹(MyCompanySupportAdmins)의 구성원은 조직의 IAM 역할에 사용자와 그룹을 할당할 수 있습니다. 조직 관리자 역할이 부여되면 그룹에 setIamPolicy 권한이 부여되기 때문입니다. 새 지원 계정 관리자가 조직에 가입하면 Google 그룹(MyCompanySupportAdmins)에 이 관리자를 추가하여 원하는 역할을 부여합니다.

사용자, 그룹 또는 도메인에 IAM 역할을 부여하려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동

  2. 상단 메뉴에서 추가를 클릭합니다.

  3. 사용자, Google 그룹 또는 도메인을 지정합니다.

  4. 지원 역할을 선택합니다. 보안 권장사항으로 주 구성원에게 필요한 최소 권한을 부여하는 것이 좋습니다.

  5. 저장을 클릭합니다.

다음 단계

Google Cloud Console에서 지원 기록을 관리하는 방법 알아보기