이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.
Apigee Edge 문서 보기
이 페이지에는 Apigee 스페이스 및 스페이스 리소스를 사용하고 관리하는 데 필요한 Identity and Access Management 역할과 권한이 나와 있습니다.
스페이스를 사용할 때는 IAM 역할 및 권한은 주로 스페이스 수준에서 부여되며, Apigee 사용자는 스페이스에 할당된 API 리소스의 하위 집합만 보고 관리할 수 있다는 점에 유의해야 합니다. 이는 스페이스가 사용되지 않는 Apigee 컨텍스트에서 동작이 변경된 것으로, API 리소스 관리를 위해 Apigee 사용자에게 부여된 역할 및 권한은 일반적으로 해당 유형의 모든 리소스에 액세스할 수 있도록 합니다.
스페이스 사용 시 필요한 기본 역할 및 권한에 대해 자세히 알아보려면 다음 섹션을 참조하세요.
Apigee 스페이스 만들기 및 관리 권한 및 역할
다음 섹션에 나와 있는 것처럼 일반적인 사용 사례에서 Apigee 조직의 Apigee 스페이스를 더 쉽게 사용할 수 있도록 IAM에 새로운 역할과 권한이 추가되었습니다.
Apigee 스페이스의 사전 정의된 역할
| 역할 | 설명 | 범위 |
|---|---|---|
apigee.spaceContentEditor |
스페이스와 연결될 수 있는 리소스에 대한 전체 액세스 권한을 제공합니다. 이 역할은 스페이스 수준에서 부여되어야 합니다. | Apigee 스페이스 |
apigee.spaceContentViewer |
스페이스와 연결될 수 있는 리소스에 대한 읽기 액세스 권한을 제공합니다. 이 역할은 스페이스 수준에서 부여되어야 합니다. | Apigee 스페이스 |
apigee.spaceConsoleUser |
Google Cloud 콘솔을 사용하여 스페이스의 리소스를 관리하는 데 필요한 최소 권한을 제공합니다. 해당 스페이스의 리소스에 대한 액세스 권한이 있는 사용자에게 Google Cloud 프로젝트 수준에서 부여됩니다. | Google Cloud 프로젝트 |
스페이스 구성원이 해당 스페이스의 리소스를 관리하도록 허용하려면 스페이스 리소스에서 setIamPolicy 메서드를 사용하여 구성원에게 apigee.spaceContentEditor 역할을 부여합니다. 자세한 내용은 스페이스에 조직 구성원 추가하기를 참조하세요.
스페이스 구성원이 Cloud 콘솔의 Apigee UI를 사용하여 스페이스 리소스를 관리할 수 있도록 하려면 Google Cloud 프로젝트에서 구성원에게 apigee.spaceConsoleUser 역할을 부여하세요. 자세한 내용은 Google Cloud 콘솔에서 스페이스 리소스 보기를 참조하세요.
더 복잡한 시나리오가 있거나 스페이스 사용으로 인해 IAM 권한 계층 구조가 어떻게 변경되는지 이해하려면 Apigee 스페이스의 IAM 권한 계층 구조를 참조하세요.
Apigee 스페이스를 만들고 관리하는 데 필요한 권한
다음 표에 설명된 대로 스페이스를 만들고 관리할 수 있도록 IAM에 새로운 권한이 추가되었습니다. apigee.admin 역할이 할당된 Apigee 사용자에게는 Apigee 조직에서 스페이스를 만들고 관리하는 데 필요한 권한이 있습니다.
| 작업 | 권한 필요 |
|---|---|
| 스페이스 만들기 | apigee.spaces.create |
| 스페이스 업데이트 | apigee.spaces.update |
| 스페이스 삭제 | apigee.spaces.delete |
| 스페이스 세부정보 가져오기 | apigee.spaces.get |
| Apigee 조직의 모든 스페이스 나열 | apigee.spaces.list |
| 스페이스와 연결된 IAM 정책 가져오기 | apigee.spaces.getIamPolicy |
| 스페이스와 연결된 IAM 정책 설정 | apigee.spaces.setIamPolicy |
Google Cloud 콘솔에서 스페이스 리소스 보기
Cloud 콘솔의 Apigee UI를 사용하여 스페이스와 연결된 API 리소스를 보려면 사용자에게 커스텀 역할(apigee.spaceConsoleUser)을 부여해야 합니다.
UI를 사용하여 스페이스에서 API 리소스를 보고 관리하는 방법에 관한 자세한 내용은 Apigee 스페이스에서 API 리소스 관리를 참조하세요.
Cloud 콘솔에서 Apigee를 사용하여 스페이스 리소스를 보고 관리하려는 모든 사용자에게 이 커스텀 역할이 부여되었는지 확인합니다. IAM에서 아직 사용자에게 apigee.spaceConsoleUser 역할을 제공하지 않는 경우 조직 관리자에게 조직의 Google Cloud 프로젝트에 대한 역할을 추가해 달라고 요청하세요.
관리자는 다음 명령어를 사용하여 역할을 만들 수 있습니다.
gcloud iam roles create apigee.spaceConsoleUser \ --project="PROJECT_ID" \ --title="Apigee Space Console User" \ --description="Apigee Space Console User"\ --permissions="apigee.entitlements.get,apigee.organizations.get,apigee.organizations.list,apigee.projectorganizations.get,resourcemanager.projects.get,apigee.spaces.list,apigee.spaces.get,apigee.deployments.list,apigee.environments.list,apigee.environments.get,apigee.envgroups.list,apigee.envgroupattachments.list,apigee.instances.list,apigee.apps.list" \ --stage=GA
PROJECT_ID를 Apigee 조직이 생성된 Google Cloud 프로젝트의 이름으로 바꿉니다.
Google Cloud 콘솔에서 IAM을 사용하여 역할 보기 및 할당
Google Cloud 콘솔에서 IAM을 사용하여 Google Cloud 프로젝트 수준에서 스페이스 구성원 및 조직 관리자에게 부여된 역할 할당 및 권한을 확인할 수 있습니다.
역할 확인
-
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM으로 이동 - 프로젝트를 선택합니다.
-
주 구성원 열에서 나 또는 내가 속한 그룹을 식별하는 모든 행을 찾습니다. 내가 속한 그룹을 알아보려면 관리자에게 문의하세요.
- 나를 지정하거나 포함하는 모든 행의 역할 열을 확인하여 역할 목록에 필요한 역할이 포함되어 있는지 확인합니다.
역할 부여
-
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM으로 이동 - 프로젝트를 선택합니다.
- 액세스 권한 부여를 클릭합니다.
-
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
- 역할 선택 목록에서 역할을 선택합니다.
- 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
- 저장을 클릭합니다.
스페이스 수준에서 적용된 IAM 정책을 확인하려면 스페이스에서 구성원 및 역할 관리를 참조하세요.