[GCP] GCP 기초_Cloud IAM

1. Cloud IAM에서 사용하는 ID

• 구글 계정 : 개별 사용자 계정
• 서비스 계정 : 개별 사용자가 아닌 애플리케이션에 속한 계정
• 구글 그룹 : 여러 구글 계정과 서비스 계정을 모은 그룹
• G Suite : 조직에서 생성된 모든 구글 계정
• 리소스 : GCP 리소스에 대한 액세스 권한
• 권한 : 리소스에 어떤 작업을 허용할지 결정
• 역할 : 권한의 모음, 사용자에게 직접 권한을 배정

2. IAM 정책

• 사용자에게 부여되는 액세스 권한의 유형을 가지고 있는 정책
• 정책은 역할별 해당 역할에 대한 권한을 가진 멤버 리스트로 구성
• 사용자가 리소스에 액세스할 때 정책을 통해 액세스를 제어 

3. 정책 계증 구도

• 조직(Oraganization) 노드 : 루트 노드
• 프로젝트 : 조직의 하위 항목
• 기타 리소스 : 프로젝트의 하위 항목
• Cloud IAM 정책은 조직, 폴더, 프로젝트, 리소스 등 리소스 계층 구조의 모든 수준에 설정 가능
• 리소스는 기본적으로 상위 리소스의 정책을 상속하고, 프로젝트는 폴더에서 정책을 상속하며, 폴더는 조직에서 정책을 상속합니다.
• 하위 정책은 상위 수준에서 허용된 액세스 권한을 제한할 수 없음.

4. Cloud IAM의 역할

• 소유자 : 프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리, 프로젝트에 대한 결제 설정
• 편집자 : 뷰어 권한에 리소스 변경과 같이 상태 변경 작업까지 포함이 됨.
• 뷰어 : 읽기 전용 작업에 대한 권한이 부여, 기존 리소스 또는 데이터 조회가 여기에 해당됨.
• 사전 정의된 역할 : 기본 역할 보다 더욱 세부적인 액세스 제어를 부여하는 역할 (구글에서 만들고 유지 및 관리)
   (https://cloud.google.com/iam/docs/understanding-roles?h;=ko#predefined_roles)
• 커스텀 역할 : 사전 정의된 역할 이상의 세부적인 관리가 필요할 때 사용 / 커스텀 역할을 만들기 위해서는 'iam.roles.create'권한이 필요함, 소유자다 아닌 사용자에게는 '조직 역할 관리자'역할 또는 'IAM 역할 관리자'역할이 할당 되어야 함.

5. 서비스 계정

• 사용자가 아닌 어플리케이션 또는 가상 머신에 속한 계정으로 어플리케이션은 사용자 계정이 아닌 서비스 계정을 이용, GCP API에 접근, 서비스 계정은 계정 고유의 이메일 주소로 식별, 주요 특징은 서비스 계정을 리소스이자, ID로 사용할 수 있음.
• 서비스 계정 키 : 각 서비스 계정은 서비스 계정 키 쌍과 연결
  -> GCP 관리 : GCP에서 서비스 간 인증에 사용, 각 키의 순환 주기는 약 일주일 정도됨.
  -> 사용자 관리 : 새로운 키를 만들면 비공개 키(구글에서 보관하지 않기 때문에 다시 다운로드 불가) 다운로드, 서비스 계정당 최대 10개의 서비스 계정 키를 생성, 10년이 지나면 자동으로 만료