GCP 권한 분석기

개요

GCP 권한 분석기는 읽기 전용 서비스 계정을 Argus에 연결해, 탐지된 모든 GCP 자격증명에 대해 조직 및 폴더 레벨 상속 역할까지 포함한 실제 IAM 바인딩을 분석합니다. 전통적 서비스 계정 키와 Workload Identity Federation 모두 지원합니다.

사전 요구사항

• GCP 조직 관리자 또는 프로젝트 Owner
• 서비스 계정 생성 및 읽기 전용 IAM 역할 부여 권한
• Cremit Argus Pro 플랜 이상의 계정

단계별 설정

Step 1: 전용 서비스 계정 생성

이 계정이 Argus에 IAM 메타데이터 읽기 전용 접근을 제공합니다.

• GCP Console에서 IAM & Admin > Service Accounts > Create service account로 이동
• 'cremit-argus-analyzer'로 이름 지정하고 설명 입력
• 이 단계에서 프로젝트 접근 부여는 건너뛰고, 다음 단계에서 조직 범위 역할 부여

Step 2: 분석기에 필요한 역할 부여

조직 레벨에서 적용해야 분석기가 상속된 바인딩까지 볼 수 있습니다.

• iam.securityReviewer: 모든 리소스의 IAM 정책 읽기
• iam.serviceAccountViewer: 서비스 계정과 메타데이터 목록 조회
• iam.roleViewer: 커스텀 역할 정의 읽기
• 인벤토리용으로 resourcemanager.folderViewer와 resourcemanager.projectViewer도 선택적으로 부여

Step 3: 인증 방식 선택

서비스 계정 키(간단) 또는 Workload Identity Federation(장기 키 없음) 중 선택.

• 서비스 계정 키: JSON 키 생성, 다운로드, 보관
• Workload Identity Federation: Argus의 OIDC 신원을 신뢰하는 공급자 설정 후 런타임에 토큰 교환

Step 4: Argus에 분석기 등록

• Argus에서 Security > Permission Analysis > Add GCP Analyzer로 이동
• 서비스 계정 이메일 붙여넣기
• JSON 키 업로드 또는 Workload Identity Federation 구성 붙여넣기
• Test Connection 후 Register 클릭

설정 확인

통합이 올바르게 구성되었는지 확인하는 방법:

• Registered Analyzers에 분석기가 Connected 표시됨
• Analysis Results에 기존 GCP 자격증명의 바인딩이 파싱됨
• 프로젝트 레벨뿐 아니라 조직 및 폴더에서 상속된 역할까지 목록에 표시됨
• GCP 감사 로그가 서비스 계정의 읽기 전용 IAM 호출을 확인

문제 해결

문제: 조직 레벨의 상속된 역할이 분석에서 누락됩니다.

• 해결: iam.securityReviewer를 프로젝트가 아닌 조직 범위에서 부여해야 합니다. 조직 노드에서 재부여하고 IAM 전파를 위해 최대 7분 대기하세요.

문제: 'Workload Identity Federation token exchange failed.'

• 해결: 공급자 구성의 audience claim이 Argus가 발급하는 값과 정확히 일치해야 합니다. Argus에서 구성을 재발급해 다시 업로드하세요.

핵심 이점

• 전용 단일 목적 서비스 계정으로 읽기 전용 접근
• 상속된 역할까지 해석, '이 키가 왜 BigQuery 접근이 있지?' 같은 질문에 답변 가능
• Workload Identity Federation 지원으로 장기 서비스 계정 키 회피 가능
• 바인딩 변경 시 자동 재분석으로 상태를 최신으로 유지