[GCP] IAM 및 관리자, 역할 적용 불가 이슈, Cloud ID

서론

인사총무팀에게 매월 인보이스 검토를 위한 계정을 발급하는 과정에서 확인된 IAM 관련 이슈를 정리해본다.

---

이론적 배경

• IAM
  • 주 구성원 : 주 구성원은 Google 계정(최종 사용자의 경우), 서비스 계정(애플리케이션 및 컴퓨팅 워크로드의 경우), Google 그룹 또는 리소스에 액세스할 수 있는 Google Workspace 계정이나 Cloud ID 도메인일 수 있습니다. 주 구성원마다 고유 식별자(일반적으로 이메일 주소)가 있습니다.
  • 역할 : 역할이란 권한의 모음입니다. 권한은 리소스에 대해 허용되는 작업을 결정합니다. 주 구성원에게 역할을 부여하면 역할에 포함된 모든 권한을 부여하게 됩니다.
  • 정책 : 허용 정책은 하나 이상의 주 구성원을 개별 역할에 결합하는 역할 결합 모음입니다. 리소스에 대해 누구(주 구성원)에게 어떠한 액세스 권한(역할)이 있는지 정의하려면 허용 정책을 만들고 리소스에 연결합니다.

GCP, 허용 정책

• 역할
  • 기본 역할: 이전부터 Google Cloud 콘솔에 제공되는 역할로, 소유자, 편집자, 뷰어 역할이 있습니다.
  • 사전 정의된 역할: 기본 역할보다 더욱 세부적으로 액세스 제어를 할 수 있는 역할입니다. 예를 들어 사전 정의된 역할 Pub/Sub 게시자(roles/pubsub.publisher)는 메시지를 Pub/Sub 주제에 게시할 수 있는 액세스 권한만 부여합니다.
  • 커스텀 역할: 사전 정의된 역할로 필요한 사항을 조직에 충족할 수 없는 경우 조직의 필요에 맞게 생성하는 커스텀 역할입니다.

GCP, IAM 역할

• Cloud ID
  • Google Workspace와 동일한 개념
  • 통합 ID, 액세스, 앱, 엔드포인트 관리(IAM/EMM) 플랫폼
  • 사용자가 싱글 사인온(SSO)으로 앱에 쉽게 액세스할 수 있도록 지원
  • 다단계 인증을 통해 사용자 및 회사 데이터를 보호
  • 엔드포인트 관리에서 개인 및 회사 기기에 정책 적용

GCP, Cloud Identity

---

이슈

• IAM 설정 시 역할에 대한 세부 엑세스 역할 지정 불가 이슈 발생
  • 목적 : 인사총무팀 인보이스 검토용 GCP Billing 서비스 Viewer 계정 할당

GCP, IAM 역할 만들기

---

결론

1. Cloud ID, Google Workspace 가입 필요
   1. IAM 상세 설정을 진행하려면 Google Cloud 조직 구성이 필요함
   2. 해당 과정에서 Google의 통합 ID, 액세스, 앱, 엔드포인트 관리(IAM/EMM) 플랫폼 기능 수행이 필수적
   3. 비용 발생하는 포인트 = 사용자당 $7.2/월(Google ID), $6/월(Google Workspace)
2. 기업 규모가 커지면 재무 파트와 협의하여 확장하는 것으로 하자..

GCP, Cloud ID 가격 정책

Google Workspace, 월별 결제 금액

---

참고 및 인용 출처

- GCP. (2024). IAM 개요. https://cloud.google.com/iam/docs/overview?hl=ko.