안녕하세요,

베스핀글로벌 GCP Support팀입니다.


이번 아티클에서는 주제로 "프로젝트 IAM에 보이지 않은 사용자가 리소스에 접근이 가능한 경우"에 대해 다루고자 합니다.



프로젝트 IAM 창에서 표시되지 않는 메일 주소의 사용자가 해당 프로젝트의 리소스에 대한 접근 권한을 가지고 있을 수 있습니다.


아래 2가지 경우에 속하는지 확인해야 합니다.



1) 버킷 등의 리소스 수준에서만 권한을 부여한 경우


아래 보이는 사용자는 IAM 상에서 확인하였을 때에는 Viewer 권한만 부여되어 있습니다.



Bucket 레벨에서 추가적으로 Storage Object Creator 권한이 부여되어 있음을 확인 할 수 있습니다.

 

위 경우 해당 사용자는 Project 레벨의 권한은 Viewer이지만, Storage Object Creator가 부여되어있는 버킷에 대해서는 오브젝트 생성 작업이 가능합니다.


2) 그룹스로 권한이 부여된 경우


아래와 같이 구글 그룹스로 권한이 부여된 경우, 해당 그룹에 속한 사용자들은 모두 IAM 권한을 할당 받게 됩니다.



※ IAM 창에는 구글 그룹 메일만 표시되며 그룹원의 메일은 표시되지 않습니다.

따라서 전체 구성원을 확인하기 위해서는 구글 그룹스 페이지로 이동하여 해당 구글 그룹에 속해 있는 구성원들을 확인해주시기 바랍니다.



참조링크


[1] 구글 그룹스 생성 및 관리

https://cloud.google.com/iam/docs/groups-in-cloud-console



관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.


감사합니다.