인그레스 및 이그레스 규칙에서 ID 그룹 및 서드 파티 ID 구성

이 페이지에서는 인그레스 규칙과 이그레스 규칙에서 ID 그룹을 사용하여 서비스 경계로 보호되는 리소스에 대한 액세스를 허용하는 방법을 설명합니다.

VPC 서비스 제어는 인그레스 규칙과 이그레스 규칙을 사용하여 서비스 경계로 보호되는 리소스와 클라이언트의 액세스를 허용합니다. 액세스를 더 세분화하려면 인그레스 및 이그레스 규칙에서 ID 그룹을 지정하면 됩니다.

ID 그룹은 여러 사용자 컬렉션에 액세스 제어를 적용하는 편리한 방법으로, 유사한 액세스 정책이 있는 ID를 관리할 수 있습니다.

인그레스 또는 이그레스 규칙에서 ID 그룹을 구성하려면 identities 속성에서 다음과 같이 지원되는 ID 그룹을 사용하면 됩니다.

인그레스 및 이그레스 규칙 정책을 적용하는 방법은 인그레스 및 이그레스 정책 구성을 참고하세요.

시작하기 전에

인그레스 규칙에서 ID 그룹 구성

콘솔

Google Cloud 콘솔을 사용하여 서비스 경계의 인그레스 정책을 업데이트하거나 경계 생성 중에 인그레스 정책을 설정할 때 ID 그룹을 사용하도록 인그레스 규칙을 구성할 수 있습니다.

  1. Google Cloud 콘솔에서 경계를 만들거나 경계를 수정할 때 인그레스 정책을 선택합니다.

  2. 인그레스 정책의 API 클라이언트의 FROM 속성 창에서 ID 목록에서 ID 및 그룹 선택을 선택합니다.

  3. 선택을 클릭합니다.

  4. ID 추가 대화상자에서 경계 리소스에 대한 액세스 권한을 제공하려는 Google 그룹 또는 서드 파티 ID (미리보기)를 지정합니다. ID 그룹을 지정하려면 IAM v1 API 주 구성원 식별자에 지정된 형식을 사용합니다.

    VPC 서비스 제어는 IAM v1 API 주 구성원 식별자에서 group, principal (미리보기), principalSet (미리보기) 접두사로 시작하는 v1 ID만 지원합니다. 예를 들어 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 형식을 사용하여 그룹의 모든 직원 ID를 지정하거나 group:GROUP_NAME@googlegroups.com 형식을 사용하여 Google 그룹을 지정합니다.

  5. 저장을 클릭합니다.

다른 인그레스 규칙 속성에 관한 자세한 내용은 인그레스 규칙 참조를 참고하세요.

gcloud

JSON 파일 또는 YAML 파일을 사용하여 ID 그룹을 사용하도록 인그레스 규칙을 구성할 수 있습니다. 다음 샘플에서는 YAML 형식을 사용합니다.

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

다음을 바꿉니다.

  • PRINCIPAL_IDENTIFIER: 경계 리소스에 대한 액세스 권한을 제공하려는 Google 그룹 또는 서드 파티 ID (미리보기)를 지정합니다. ID 그룹을 지정하려면 IAM v1 API 주 구성원 식별자에 지정된 형식을 사용합니다.

    VPC 서비스 제어는 IAM v1 API 주 구성원 식별자에서 group, principal (미리보기), principalSet (미리보기) 접두사로 시작하는 v1 ID만 지원합니다. 예를 들어 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 형식을 사용하여 그룹의 모든 직원 ID를 지정하거나 group:GROUP_NAME@googlegroups.com 형식을 사용하여 Google 그룹을 지정합니다.

다른 인그레스 규칙 속성에 관한 자세한 내용은 인그레스 규칙 참조를 참고하세요.

ID 그룹을 구성하도록 기존 인그레스 규칙을 업데이트한 후에는 서비스 경계의 규칙 정책을 업데이트해야 합니다.

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

다음을 바꿉니다.

  • PERIMETER_ID: 업데이트하려는 서비스 경계의 ID입니다.
  • RULE_POLICY: 수정된 인그레스 규칙 파일의 경로입니다.

자세한 내용은 서비스 경계의 인그레스 및 이그레스 정책 업데이트를 참고하세요.

이그레스 규칙에서 ID 그룹 구성

콘솔

Google Cloud 콘솔을 사용하여 서비스 경계의 이그레스 정책을 업데이트하거나 경계 생성 중에 이그레스 정책을 설정할 때 ID 그룹을 사용하도록 이그레스 규칙을 구성할 수 있습니다.

  1. Google Cloud 콘솔에서 경계를 만들거나 경계를 수정할 때 이그레스 정책을 선택합니다.

  2. 이그레스 정책의 API 클라이언트의 FROM 속성 창에서 ID 목록에서 ID 및 그룹 선택을 선택합니다.

  3. 선택을 클릭합니다.

  4. ID 추가 대화상자에서 경계 외부의 지정된 리소스에 액세스할 수 있는 Google 그룹 또는 서드 파티 ID (미리보기)를 지정합니다. ID 그룹을 지정하려면 IAM v1 API 주 구성원 식별자에 지정된 형식을 사용합니다.

    VPC 서비스 제어는 IAM v1 API 주 구성원 식별자에서 group, principal (미리보기), principalSet (미리보기) 접두사로 시작하는 v1 ID만 지원합니다. 예를 들어 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 형식을 사용하여 그룹의 모든 직원 ID를 지정하거나 group:GROUP_NAME@googlegroups.com 형식을 사용하여 Google 그룹을 지정합니다.

  5. 저장을 클릭합니다.

다른 이그레스 규칙 속성에 관한 자세한 내용은 이그레스 규칙 참조를 참고하세요.

gcloud

JSON 파일 또는 YAML 파일을 사용하여 ID 그룹을 사용하도록 이그레스 규칙을 구성할 수 있습니다. 다음 샘플에서는 YAML 형식을 사용합니다.

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

다음을 바꿉니다.

  • PRINCIPAL_IDENTIFIER: 경계 외부의 지정된 리소스에 액세스할 수 있는 Google 그룹 또는 서드 파티 ID (미리보기)를 지정합니다. ID 그룹을 지정하려면 IAM v1 API 주 구성원 식별자에 지정된 형식을 사용합니다.

    VPC 서비스 제어는 IAM v1 API 주 구성원 식별자에서 group, principal (미리보기), principalSet (미리보기) 접두사로 시작하는 v1 ID만 지원합니다. 예를 들어 principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 형식을 사용하여 그룹의 모든 직원 ID를 지정하거나 group:GROUP_NAME@googlegroups.com 형식을 사용하여 Google 그룹을 지정합니다.

다른 이그레스 규칙 속성에 관한 자세한 내용은 이그레스 규칙 참조를 참고하세요.

ID 그룹을 구성하도록 기존 이그레스 규칙을 업데이트한 후에는 서비스 경계의 규칙 정책을 업데이트해야 합니다.

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

다음을 바꿉니다.

  • PERIMETER_ID: 업데이트하려는 서비스 경계의 ID입니다.
  • RULE_POLICY: 수정된 이그레스 규칙 파일의 경로입니다.

자세한 내용은 서비스 경계의 인그레스 및 이그레스 정책 업데이트를 참고하세요.

제한사항

  • ID 그룹을 사용하기 전에 인그레스 및 이그레스 규칙의 지원되지 않는 기능을 알아보세요.
  • 이그레스 규칙에서 ID 그룹을 사용하는 경우 egressTo 속성의 resources 필드를 "*"로 설정할 수 없습니다.
  • 인그레스 및 이그레스 규칙 한도에 대한 자세한 내용은 할당량 및 한도를 참고하세요.

다음 단계