IAM 역할

이 주제에서는 Assured Workloads를 구성하는 데 사용할 수 있는 Identity and Access Management(IAM) 역할을 설명합니다. 역할은 인증된 ID의 리소스 액세스 기능을 제한합니다. 해당 Google Cloud API, 기능 또는 리소스와 상호작용하는 데 필요한 권한만 ID에 부여합니다.

Assured Workloads 환경을 만들려면 해당 기능이 있는 아래에 나열된 역할 중 하나와 Cloud Billing 액세스 제어 역할이 할당되어야 합니다. 또한 활성 상태의 유효한 결제 계정이 있어야 합니다. 자세한 내용은 Cloud Billing 액세스 제어 개요를 참조하세요.

필요한 역할

다음은 최소 필수 Assured Workloads 관련 역할입니다. IAM 역할을 사용하여 리소스에 대한 액세스 권한을 부여, 변경, 취소하는 방법은 리소스에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.

  • Assured Workloads 관리자: 워크로드 환경을 만드는 데 필요한 역할입니다.
  • Resource Manager 조직 관리자: 조직에 속한 모든 리소스를 관리할 수 있는 액세스 권한이 있는 역할입니다.

Assured Workloads 역할

다음은 Assured Workloads와 연결된 IAM 역할과 gcloud 명령줄 도구를 사용하여 이러한 역할을 부여하는 방법입니다. Cloud Console에서 또는 프로그래매틱 방식으로 이러한 역할을 부여하는 방법을 알아보려면 IAM 문서에서 리소스에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.

ORGANIZATION_ID 자리표시자를 실제 조직 식별자로, example@customer.org를 사용자 이메일 주소로 바꿉니다. 조직 ID를 검색하려면 조직 ID 검색을 참조하세요.

roles/assuredworkloads.admin

워크로드 생성용. 읽기-쓰기 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

읽기-쓰기 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

워크로드 가져오기 및 나열용 읽기 전용 액세스를 허용합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

맞춤 역할

지정한 권한 묶음을 포함하는 자체 역할을 정의하려면 커스텀 역할을 사용하세요.

Assured Workloads IAM 권장사항

최소 권한 원칙을 따르기 위해 IAM 역할을 올바르게 보호하는 것이 Google Cloud 보안 권장사항입니다. 이 원칙은 사용자가 자신의 역할에 필요한 제품, 서비스, 애플리케이션에만 액세스할 수 있어야 한다는 규칙을 따릅니다. Assured Workloads 환경 외부에 제품 및 서비스를 배포하는 경우 사용자는 현재 Assured Workloads 프로젝트의 범위를 벗어난 서비스 사용에 제한을 받지 않습니다.

규정 준수 체계의 범위 내 제품 목록을 사용하면 보안 관리자가 사용자의 액세스 권한을 Assured Workloads 환경의 범위 내 제품으로만 제한하는 커스텀 역할을 만들 때 안내할 수 있습니다. 커스텀 역할은 Assured Workloads 환경 내에서 규정 준수 동의를 얻고 유지할 수 있도록 지원합니다.