Google Cloud 태그를 사용한 액세스 제어

이 페이지에서는 Google Cloud 태그와 Cloud SQL에서 이 태그를 사용하는 방법을 설명합니다. 지금 gcloud를 사용하여 Cloud SQL 인스턴스에 태그를 추가하려면 Cloud SQL 인스턴스에서 태그 연결 및 관리를 참조하세요. 지금 Google Cloud Console을 사용하여 Cloud SQL 인스턴스에 태그를 추가하려면 인스턴스에서 태그 만들기 및 관리를 참조하세요.

개요

Google Cloud 태그는 Cloud SQL 리소스를 구성하는 방법입니다.

태그는 Google Cloud에서 더 높은 수준의 리소스 계층 구조에 적용됩니다. Cloud SQL 및 다른 인스턴스는 태그를 상속하며 Resource Manager를 통해 관리됩니다. IAM 정책 binding의 태그에 참조를 추가하여 리소스에 대한 조건부 액세스 권한을 부여할 수 있습니다.

태그는 인스턴스를 구성하고 필터링하는 또 다른 방법인 라벨과 다릅니다. 태그와 라벨은 서로 독립적으로 작동하며 같은 인스턴스에서 둘 다 사용할 수 있습니다. Cloud SQL에서 라벨 사용에 대한 자세한 내용은 라벨 인스턴스를 참조하세요.

태그란 무엇인가요?

태그는 세분화된 액세스 제어를 위해 리소스에 적용할 수 있는 키-값 쌍입니다.

태그 키는 environment와 같은 속성일 수 있으며 태그 값은 development 또는 production과 같은 속성일 수 있습니다. 태그에는 특정 리소스의 지정된 키에 대한 값이 하나만 있을 수 있습니다.

태그는 조직 수준에서 생성됩니다. 태그는 Google Cloud에서 사용되는 Resource Manager를 통해 프로젝트나 Cloud SQL 인스턴스와 같은 리소스에 연결됩니다.

조건부 태그 binding을 기반으로 권한 부여

태그가 Cloud SQL 인스턴스에 의해 연결되거나 상속되면 IAM 조건과 함께 태그를 사용하여 Cloud SQL 리소스에 조건부 액세스 권한을 부여할 수 있습니다. IAM 조건을 사용하면 Cloud SQL 인스턴스에 세분화된 액세스 제어를 적용할 수 있습니다. IAM 조건을 사용하려면 IAM 정책 binding에서 태그를 참조합니다. 태그를 사용하여 Cloud SQL 인스턴스에 대한 조건부 액세스 권한을 부여하는 방법에 대한 자세한 내용은 IAM 조건 사용을 참조하세요.

제한사항

태그에는 다음과 같은 제한사항이 있습니다.

  • 조직 정책은 프로젝트 수준 이상에서 상속된 태그를 조건부로 참조할 수 있지만 Cloud SQL 인스턴스에 직접 연결된 태그를 지원하지 않습니다.
  • Cloud 감사 로그에 태그 만들기와 삭제가 표시되지만 Cloud SQL 인스턴스에서 태그를 연결하거나 태그 binding을 볼 수 있도록 항목이 생성되지 않습니다.

다음 단계