IAM 역할

이 페이지에서는 Assured Workloads를 구성하는 데 사용할 수 있는 Identity and Access Management(IAM) 역할을 설명합니다. 역할은 주 구성원의 리소스 액세스 기능을 제한합니다. 해당 Google Cloud API, 기능 또는 리소스와 상호작용하는 데 필요한 권한만 주 구성원에 부여합니다.

Assured Workloads 폴더를 만들려면 아래에 나열된 해당 권한을 가진 역할 중 하나와 Cloud Billing 액세스 제어 역할을 할당해야 합니다. 또한 활성 상태의 유효한 결제 계정이 있어야 합니다. 자세한 내용은 Cloud Billing 액세스 제어 개요를 참조하세요.

필요한 역할

다음은 필요한 최소 Assured Workloads 관련 역할입니다. IAM 역할을 사용해 리소스에 대한 액세스 권한을 부여, 변경 또는 취소하는 방법에 대한 자세한 내용은 리소스에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.

  • Assured Workloads 관리자(roles/assuredworkloads.admin): Assured Workloads 폴더를 만들고 삭제하는 데 필요한 역할입니다.
  • Resource Manager 조직 뷰어(roles/resourcemanager.organizationViewer): 조직에 속한 모든 리소스를 볼 수 있는 액세스 권한입니다.

Assured Workloads 역할

다음은 Assured Workloads와 연결된 IAM 역할과 Google Cloud CLI를 사용하여 이러한 역할을 부여하는 방법입니다. Google Cloud 콘솔에서 또는 프로그래매틱 방식으로 이러한 역할을 부여하는 방법을 알아보려면 IAM 문서에서 리소스에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.

ORGANIZATION_ID 자리표시자를 실제 조직 식별자로 바꾸고 example@customer.org를 사용자 이메일 주소로 바꿉니다. 조직 ID를 가져오려면 조직 ID 검색을 참조하세요.

roles/assuredworkloads.admin

Assured Workloads 폴더 만들기 및 삭제. 읽기/쓰기 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

읽기/쓰기 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Assured Workloads 폴더를 가져오고 나열하기. 읽기 전용 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

커스텀 역할

지정한 권한 묶음을 포함하는 자체 역할을 정의하려면 커스텀 역할을 사용하세요.

Assured Workloads IAM 권장사항

최소 권한을 따르도록 IAM 역할을 적절히 보호하는 것이 Google Cloud 보안 권장사항입니다. 이 원칙은 사용자가 자신의 역할에 필요한 제품, 서비스, 애플리케이션에만 액세스해야 한다는 규칙을 따릅니다. Assured Workloads 폴더 외부에서 제품 및 서비스를 배포할 때 현재는 사용자가 Assured Workloads 프로젝트에서 범위 밖 서비스를 사용하는 것이 제한되지 않습니다.

제어 패키지의 범위 내 제품 목록을 사용하면 보안 관리자가 사용자의 액세스 권한을 Assured Workloads 폴더의 범위 내 제품으로만 제한하는 커스텀 역할을 만들 때 안내할 수 있습니다. 커스텀 역할은 Assured Workloads 폴더 내에서 규정 준수 동의를 얻고 유지할 수 있도록 지원합니다.