역할 및 권한

Cloud 애셋 인벤토리는 액세스 제어에 ID 및 액세스 관리(IAM)를 사용합니다. 모든 Cloud 애셋 인벤토리 API 메서드는 호출자에게 필수 권한을 요구합니다.

역할

애셋 메타데이터를 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.

애셋 메타데이터를 보려면 다음 안내를 따르세요.
- Cloud 애셋 뷰어(roles/cloudasset.viewer)
- 서비스 사용량 소비자(roles/serviceusage.serviceUsageConsumer)
애셋 메타데이터를 보고 피드 작업을 하려면 다음 단계를 따르세요.
- 클라우드 애셋 소유자(roles/cloudasset.owner)
- 서비스 사용량 소비자(roles/serviceusage.serviceUsageConsumer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 애셋 메타데이터 작업에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

애셋 메타데이터로 작업하려면 다음 권한이 필요합니다.

애셋 메타데이터를 보려면 다음 안내를 따르세요.
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
애셋 메타데이터를 보고 피드 작업을 하려면 다음 단계를 따르세요.
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

권한

다음 표에는 호출자가 Cloud 애셋 인벤토리에서 각 API 메서드를 호출하거나 Cloud 애셋 인벤토리를 사용하는 Google Cloud 도구(예: Google Cloud 콘솔 또는 gcloud CLI)를 사용하여 태스크를 수행하는 데 필요한 권한이 나와 있습니다.

Cloud 애셋 뷰어(roles/cloudasset.viewer) 및 Cloud 애셋 소유자(roles/cloudasset.owner) 역할에는 이러한 권한이 다수 포함되어 있습니다. 호출자에게 이러한 역할 중 하나와 서비스 사용량 소비자(roles/serviceusage.serviceUsageConsumer) 역할이 부여된 경우 Cloud 애셋 인벤토리를 사용하는 데 필요한 권한이 이미 있을 수 있습니다.

RPC

메서드	필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출	모든 Cloud 애셋 인벤토리 호출에는 `serviceusage.services.use` 권한이 필요합니다.
분석 API
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	다음 모든 권한: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`BatchGetAssetsHistory` `ExportAssets`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.exportAccessPolicy` `ACCESS_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportIamPolicy` `IAM_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOrgPolicy` `ORG_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOSInventories` `OS_INVENTORY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportResource` `RELATIONSHIP` 또는 `RESOURCE` 콘텐츠 유형을 사용하는 경우 미지정 또는 `RESOURCE` 콘텐츠 유형의 메타데이터를 내보낼 때 계정에 `cloudasset.assets.exportResource` 권한을 부여하는 대신 각 리소스 유형의 권한을 사용할 수 있습니다.
`ListAssets`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형에 대한 `cloudasset.assets.listResource`입니다.
`QueryAssets`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형 모두에 대한 `cloudasset.assets.queryResource`입니다.
피드 API
`CreateFeed`	`cloudasset.feeds.create` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search API
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` 리소스 소유자 보강을 검색하는 경우에는 `cloudasset.assets.searchEnrichmentResourceOwners`도 필요합니다.

REST

메서드	필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출	모든 Cloud 애셋 인벤토리 호출에는 `serviceusage.services.use` 권한이 필요합니다.
분석 API
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	다음 모든 권한: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`batchGetAssetsHistory` `exportAssets`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.exportAccessPolicy` `ACCESS_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportIamPolicy` `IAM_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOrgPolicy` `ORG_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOSInventories` `OS_INVENTORY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportResource` `RELATIONSHIP` 또는 `RESOURCE` 콘텐츠 유형을 사용하는 경우 미지정 또는 `RESOURCE` 콘텐츠 유형의 메타데이터를 내보낼 때 계정에 `cloudasset.assets.exportResource` 권한을 부여하는 대신 각 리소스 유형의 권한을 사용할 수 있습니다.
`assets.list`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형에 대한 `cloudasset.assets.listResource`입니다.
`queryAssets`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형 모두에 대한 `cloudasset.assets.queryResource`입니다.
피드 API
`feeds.create`	`cloudasset.feeds.create` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search API
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` 리소스 소유자 보강을 검색하는 경우에는 `cloudasset.assets.searchEnrichmentResourceOwners`도 필요합니다.

gcloud

포지셔닝 문구	필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출	모든 Cloud 애셋 인벤토리 호출에는 `serviceusage.services.use` 권한이 필요합니다.
분석 API
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	다음 모든 권한: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	다음 모든 권한: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`get-history` `export`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.exportAccessPolicy` `ACCESS_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportIamPolicy` `IAM_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOrgPolicy` `ORG_POLICY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportOSInventories` `OS_INVENTORY` 콘텐츠 유형을 사용하는 경우 `cloudasset.assets.exportResource` `RELATIONSHIP` 또는 `RESOURCE` 콘텐츠 유형을 사용하는 경우 미지정 또는 `RESOURCE` 콘텐츠 유형의 메타데이터를 내보낼 때 계정에 `cloudasset.assets.exportResource` 권한을 부여하는 대신 각 리소스 유형의 권한을 사용할 수 있습니다.
`list`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형에 대한 `cloudasset.assets.listResource`입니다.
`query`	콘텐츠 유형에 따라 다음 권한 중 하나: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `RELATIONSHIP` 및 `RESOURCE` 콘텐츠 유형 모두에 대한 `cloudasset.assets.queryResource`입니다.
피드 API
`feeds create`	`cloudasset.feeds.create` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` 또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다. `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search API
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` 리소스 소유자 보강을 검색하는 경우에는 `cloudasset.assets.searchEnrichmentResourceOwners`도 필요합니다.

리소스 유형별 내보내기 권한

사용자에게 cloudasset.assets.exportResource 권한을 부여하면 모든 리소스 유형을 내보낼 수 있습니다. 사용자가 내보낼 수 있는 리소스 유형을 제한하려면 대신 각 리소스 유형에 대한 권한을 부여하면 됩니다.

예를 들어 사용자에게 cloudasset.assets.exportComputeDisks를 부여하면 리소스 유형 compute.googleapis.com/Disk 외에는 아무것도 내보낼 수 없습니다.

리소스 내보내기 권한은 RESOURCE 및 지정되지 않은 콘텐츠 유형에만 적용됩니다.

서비스	리소스 유형	리소스 내보내기 권한
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Cloud Billing	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
클라우드 OS 구성	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

VPC 서비스 제어

Cloud 애셋 인벤토리와 함께 VPC 서비스 제어를 사용하여 애셋에 대한 추가 보안을 제공할 수 있습니다. VPC 서비스 제어에 대해 자세히 알아보려면 VPC 서비스 제어 개요를 참조하세요.

Cloud 애셋 인벤토리를 VPC 서비스 제어와 함께 사용할 때의 제한사항을 알아보려면 지원되는 제품 및 제한사항을 참조하세요.