Identity and Access Management (IAM)

IAM Basic

• Identity & Access Management = who can do what on which resource

  → who = user, group, service account(앱)

  → what = permissions/actions(권한)

  → resource = any GCP service 리소스

• Example: Compute Viewer = read-only on Compute Engine (get/list), but no data read inside VMs.

IAM Objects

• Organization → Folder → Project → Resource (single-parent tree)
• Roles (basic, predefined, custom) + Members (users/groups/SAs)
• 정책은 위에서 아래로 상속(inherit).

Organization
 └─ Folder(s)
     └─ Project(s)
         └─ Resource(s)

Resource Hierarchy

• Org: 회사 단위. 여기서 부여한 역할은 전체 하위에 상속.

• Folder: 부서/팀 단위(서브 조직 느낌). 폴더별로 격리/위임.

• Project: trust boundary. 같은 프로젝트 내 서비스는 기본 신뢰 수준 공유.

• Resource: 개별 서비스 객체 (VM, bucket 등).

  → 각 리소스는 부모가 하나(exactly one parent).

Organization

주요 Org Roles

• Organization Admin: 전체 리소스 관리(감사에 유용).
• Project Creator: 프로젝트 생성 권한(Org 레벨에 주면 모든 하위에 상속).
• (+) Viewer: Org 전체 보기 전용.

Org 생성/관리