https://cloud.google.com/iam/docs/overview
Cloud IAM은 사용자들에게 최소 사용 권한이라는 보안 원칙을 적용 그러므로 특정 구글 계정 속성은 자원에 꼭 필요한 접근만을 허용
Google 계정은 개발자, 관리자, Google Cloud와 상호작용하는 다른 모든 사람을 나타냅니다. Google 계정과 연결된 모든 이메일 주소는 ID가 될 수 있고, gmail.com 및 기타 도메인을 사용할 수 있습니다. 신규 사용자는 Google 계정 가입 페이지에서 Google 계정에 가입할 수 있습니다.
서비스 계정은 개별 최종 사용자가 아닌 애플리케이션 또는 컴퓨팅 워크로드에 대한 계정입니다. Google Cloud에서 호스팅되는 코드를 실행하면 코드가 지정한 계정으로 실행됩니다. 애플리케이션의 다양한 논리적 구성요소를 나타내는 데 필요한 개수대로 서비스 계정을 생성할 수 있습니다. 애플리케이션에서 서비스 계정을 사용하는 방법은 인증 시작하기를 참조하세요.
Google Workspace 계정은 계정에 포함된 모든 Google 계정의 가상 그룹을 나타냅니다. Google Workspace 계정은 example.com과 같은 조직의 인터넷 도메인 이름과 연결됩니다. username@example.com과 같은 새 사용자의 Google 계정을 만들면 Google 계정이 Google Workspace 계정의 가상 그룹에 추가됩니다.
Google 그룹스처럼 Google Workspace 계정을 ID 설정에 사용할 수 없지만 이 도메인을 사용하면 권한을 편리하게 관리할 수 있습니다.
<service>.<resource>.<verb>
GCP Cloud IAM은 총 세 가지 형식의 역할이 있음
보다 넓은 접근 방식으로 여러 서비스에서 사용하는 역할. 소유자(Owner), 편집자(Editor), 뷰어 (Viewer) 역할로 구성:
Ex)
프로젝트 소유자(Project Owner):
프로젝트 내에서 어떤 서비스라도 활성화 및 수정 작업 가능
특정 서비스 대상으로 보다 상세하고 정교한 접근 통제 역할을 제공
Ex)
빅쿼리 데이터 편집자 (BigQuery Data Editor): 데이터 셋에서 모든 테이블에 수정을 위한 접근 가능
사전 정의된 역할이 사용자 요청에 맞지 않는 경우 조직의 요구사항에 맞춰서 권한을 수정하여 신규로 생성하는 역할
Ex)
“customDeployRoles” (VM을 배포할 수 있지만 삭제할 수는 없는 역할) Custom 역할은 조직과 프로젝트에서 생성