액세스 변경 전파

IAM에서는 역할 부여 또는 권한 거부와 같은 액세스 변경사항이 eventual consistency를 갖습니다. 즉, 액세스 변경사항이 시스템 전체에 전파되려면 시간이 걸립니다. 그동안 최신 액세스 변경사항은 모든 곳에 적용되지 않을 수 있습니다. 예를 들어 주 구성원이 최근에 취소된 역할 또는 최근에 거부된 권한을 계속 사용할 수 있습니다. 또는 최근에 부여된 역할이나 최근까지 사용이 거부된 권한을 사용하지 못할 수도 있습니다.

액세스 변경사항이 적용되는 데 걸리는 시간은 액세스 변경 방법에 따라 다릅니다.

메서드 전파 시간

정책 변경

허용 또는 거부 정책을 수정하여 주 구성원의 액세스 권한을 변경합니다.

정책을 변경할 때는 정책에서 허용되는 주 구성원 수 한도를 초과할 수 없습니다.

  • 조직의 허용 정책을 수정하여 주 구성원에게 조직 관리자 역할(roles/resourcemanager.organizationAdmin)을 부여합니다.
  • 조직 수준 거부 정책을 수정하여 주 구성원의 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 2분(7분 이상 걸릴 수 있음)

그룹 멤버십 변경

허용 또는 거부 정책에 포함된 Google 그룹에서 주 구성원을 추가하거나 삭제하여 액세스 권한을 변경합니다.

  • 조직에 조직 관리자 역할이 부여된 org-admins@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 조직 관리자 역할을 부여합니다.
  • 조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)

중첩된 그룹의 멤버십 변경

상위 그룹이 허용 또는 거부 정책에 포함된 중첩된 그룹에서 주 구성원을 추가하거나 삭제하여 주 구성원의 액세스 권한을 변경합니다.

  • 조직에 태그 뷰어 역할(roles/resourcemanager.tagViewer)이 부여된 admins@example.com 그룹이 있습니다. 이 그룹의 멤버십은 org-admins@example.com을 비롯한 다른 여러 그룹으로 구성되어 있습니다. org-admins@example.com 그룹에 주 구성원을 추가하여 태그 뷰어 역할을 부여합니다.
  • 조직 수준에서 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한이 거부된 eng@example.com 그룹이 있습니다. 이 그룹의 멤버십은 eng-prod@example.com을 비롯한 다른 여러 그룹으로 구성됩니다. eng-prod@example.com 그룹에 주 구성원을 추가하여 cloudresourcemanager.googleapis.com/projects.setIamPolicy 권한을 거부합니다.
일반적으로 몇 분(몇 시간 이상 걸릴 수 있음)

또한 그룹 멤버십 변경 전파 방법은 다음 세부정보에 유의하세요.

  • 일반적으로 그룹에 주 구성원을 추가하면 그룹에서 주 구성원을 삭제하는 것보다 빠르게 전파됩니다.
  • 일반적으로 그룹 멤버십 변경사항은 중첩된 그룹 멤버십 변경보다 더 빠르게 전파됩니다.

이러한 전파 시간 추정값을 사용하여 주 구성원의 액세스 권한을 수정하는 방법을 알릴 수 있습니다.