Google Kubernetes Engine: Cloud IAM

1. Cloud IAM 의 세 가지 요소:

Cloud IAM 은 GCP 리소스를 사용하기 위한 권한을 주기 위해서 사용된다.

 

Cloud IAM 은 3가지 요소로 이뤄진다:

• WHO: 권한을 누가 가지고 있는지에 대한 설명
• WHAT: 무슨 권한을 가지고 있는지에 대한 설명. (e.g 리소스에 읽고/쓰고/관리 같은 것을 말함)
• WHICH: 어떤 리소스에 대한 권한을 가지고 있는지에 대한 설명

 

2. Cloud IAM에서의 권한 부여:

Google Cloud Identity 를 사용해서 Google 인증을 할 수 있다.

 

그리고 Google Cloud Identity 는 회사의 멤버를 그룹별로 분리할 수 있으며 Cloud IAM 은 이 그룹별로 권한을 줄 수도 있다.

 

Cloud IAM 은 멤버별로 각각 권한을 할당하는게 아니다.

 

Role 이라는 걸 만들어서 권한을 관리하고, 멤버에게 이 Role 이 할당됨으로써 멤버는 권한을 가진다.

 

이렇게 Role 로 권한을 관리하면 권한 관리가 간소화된다. 새로운 멤버가 들어 올 경우 해당 Role 을 멤버에게 주기만 하면 되니까.

 

GCP 에서 리소스를 사용하는 모든 것은 API Call 을 통해서 이뤄진다. 그리고 API Call 을 수행할 때는 항상 권한 검사가 이뤄진다고 보면 된다.

 

 

3. Cloud IAM 정책:

Cloud IAM 정책은 조직 전체에서 사용하고 있는 GCP 리소스에 대한 접근 권한을 멤버/그룹에게 부여할 것인지, 해당 프로젝트에서만 사용하고 있는 GCP 리소스에 대한 접근 권한을 멤버/그룹에게 부여할 것인지, 사용하고 있는 GCP 리소스 중 특정한 어떤 것에 대한 접근 권한만을 멤버/그룹에게 부여하는 것을 말한다.

 

Cloud IAM 정책을 사용해서 좀 더 GCP 리소스에 대한 접근을 세밀하게 제어하는 것이 가능하다.