GCP IAM 최소 권한 — 과대 권한 서비스 계정 교정 — 실습 Lab

INCIDENT RESPONSE

0 / 5 단계 완료

📚 PREREQUISITES

Labgcp-compute-engine-basics

Theorycloud/cloud-account-iam

TRACK

CLOUD-GCP

SLA

40분

SEV

SEV-2

PHASES

3단계

ENV

local

INCOMING TICKET

“보안 감사 지적: "배포용 서비스 계정에 roles/owner가 부여돼 있습니다. 최소 권한으로 즉시 교정하세요."”

YOUR ROLE

클라우드 엔지니어인 당신이

IMPACT IF UNRESOLVED

서비스 계정 키 유출 시 프로젝트 전체(과금·삭제·IAM 변경) 장악 가능. 감사 불합격 + 보안 사고 위험.

🚨INCIDENT BRIEF

배포 자동화를 붙이며 서비스 계정 `deployer@<project>.iam.gserviceaccount.com`에 일단 roles/owner를 줬습니다.

파이프라인은 잘 돕니다. 그런데 보안 감사에서 빨간 줄이 그어집니다.

"이 서비스 계정 키가 유출되면 프로젝트 전체가 털립니다. 최소 권한으로 줄이세요."

문제는 "그럼 뭘 줘야 충분한가?"입니다. 너무 줄이면 배포가 깨지고, 안 줄이면 감사 불합격입니다.

현재 권한을 조사하고, 실제 필요한 역할만 남기고, 줄인 뒤에도 배포가 되는지 검증합니다.

⏱ 40분📊 중급🔧 3단계#gcp#iam#least-privilege#service-account

MISSION

현재 IAM 바인딩 조사 — 누가 무슨 역할을 가졌나

문제의 서비스 계정에 어떤 역할이 어느 레벨에서 바인딩됐는지 정확히 특정한다

최소 역할로 교정 — Owner 회수, 필요한 역할만 부여

실제 작업에 필요한 사전 정의 역할만 부여하고 roles/owner를 회수한다

교정 후 검증 — 권한이 여전히 충분한지 확인

줄인 권한으로도 실제 작업이 되는지, 과한 권한은 정말 빠졌는지 양쪽을 검증한다

📌 선수 지식

ℹ️ 실습 환경

환경: local

필요 도구: gcloud

🔒

실습 실행은 Pro 플랜 전용입니다

인시던트 브리프와 학습 자료는 지금 바로 확인할 수 있습니다. 실제 실습 진행 및 터미널 사용은 Pro 플랜에서 가능합니다.

>_ LAB TERMINAL↔ 너비 조절

NOTES