Google Cloud IAM

클라우드 리소스가 많아지면 누가 어디까지 접근할 수 있는지 통제가 흐려집니다. 권한이 넓게 퍼지면 실수로 프로덕션 데이터를 바꾸거나, 서비스 계정이 과도한 권한을 가진 채로 운영되는 문제가 생깁니다.

온프레미스에서는 네트워크 분리와 서버별 계정 관리로 접근을 나눴지만, 클라우드에서는 리소스가 API로 노출되므로 더 세밀한 권한 모델이 필요해졌습니다. 역할 기반 접근 제어(RBAC)는 이런 환경에서 기본 보안 단위가 되었습니다.

IAM은 주체(사용자, 그룹, 서비스 계정)에 역할(Role)을 바인딩하는 정책(Policy)으로 동작합니다. 역할은 권한(Permission)의 묶음이고, Organization → Folder → Project → Resource 순으로 상속됩니다. 이렇게 한 번 부여된 권한은 하위 리소스에 자동 적용되며, 워크로드는 서비스 계정으로 다른 GCP 서비스에 접근할 수 있습니다.

IAM과 Cloud Armor는 둘 다 접근을 제한하지만, IAM은 사용자와 서비스 계정 같은 주체의 권한을 GCP 리소스 단위로 제어하고 Cloud Armor는 외부 HTTP 요청 패턴을 엣지에서 걸러냅니다. 내부 호출 권한을 정해야 하면 IAM, 인터넷에서 들어오는 트래픽을 먼저 차단해야 하면 Cloud Armor가 맞습니다.

모든 GCP 프로젝트에서 기본으로 사용합니다. 특히 팀이 분리되어 있거나, 운영과 개발 환경을 나누거나, VM과 서버리스 워크로드에 최소 권한만 주고 싶을 때 중요합니다. 네트워크 차단이나 데이터 암호화 자체를 해결하는 도구는 아닙니다.