베어메탈 솔루션의 IAM 구성

주 구성원이 베어메탈 솔루션 환경의 리소스에 대해 액세스 권한을 갖도록 하려면 사용자 계정 및 서비스 계정에 적절한 역할 및 권한을 부여해야 합니다. Google Cloud의 다른 구성요소와 비슷하게, Identity and Access Management(IAM) 정책을 만들고 베어메탈 솔루션과 관련된 사전 정의된 역할을 부여할 수 있습니다.

Google Cloud 프로젝트와 연관된 주 구성원에 역할을 부여합니다. Google Cloud의 보안 최소 권한의 원칙을 따를 수 있도록 작업 수행을 위해 필요한 정도까지만 주 구성원에 필요한 권한이 포함된 역할을 부여합니다.

베어메탈 솔루션을 위한 사전 정의된 역할

베어메탈 솔루션의 각 IAM 역할에는 다음 표에 표시된 것처럼 리소스 관련 액세스 권한을 주 구성원에 부여하는 권한이 포함되어 있습니다.

역할 이름 경로 설명
베어메탈 솔루션 관리자 roles/baremetalsolution.admin
(소유자 기본 역할에도 이 권한이 있음)
모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 전체 제어 권한입니다. 이 역할은 프로젝트 수준에서 읽기 및 쓰기 권한을 받습니다.
베어메탈 솔루션 편집자 roles/baremetalsolution.editor
(편집자 기본 역할에도 이 권한이 있음)
모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 편집자 권한입니다. 이 역할은 프로젝트 수준에서 읽기 및 쓰기 권한을 받습니다.
베어메탈 솔루션 뷰어 roles/baremetalsolution.viewer
(뷰어 기본 역할도 이 권한을 가짐)
모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 뷰어 권한입니다. 이 역할은 프로젝트 수준에서 읽기 전용 권한을 받습니다.
베어메탈 솔루션 인스턴스 관리자 roles/baremetalsolution.instancesadmin 베어메탈 솔루션 서버의 관리자 권한입니다.
베어메탈 솔루션 인스턴스 편집자 roles/baremetalsolution.instanceseditor 베어메탈 솔루션 서버의 편집자입니다. 이 역할은 서버를 모니터링하고 관리할 수 있는 권한을 받습니다.
베어메탈 솔루션 인스턴스 뷰어 roles/baremetalsolution.instancesviewer 베어메탈 솔루션 서버의 뷰어 권한입니다. 이 역할은 서버를 볼 수 있는 읽기 전용 권한을 받습니다.
베어메탈 솔루션 스토리지 관리자 roles/baremetalsolution.storageadmin 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 관리자입니다.
베어메탈 솔루션 스토리지 편집자 roles/baremetalsolution.storageeditor 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 편집자입니다. 이 역할은 스토리지를 모니터링하고 관리할 수 있는 권한을 받습니다.
베어메탈 솔루션 스토리지 뷰어 roles/baremetalsolution.storageviewer 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 뷰어입니다. 이 역할은 스토리지를 볼 수 있는 읽기 전용 권한을 받습니다.
베어메탈 솔루션 네트워크 관리자 roles/baremetalsolution.networksadmin 베어메탈 솔루션 네트워킹 리소스의 관리자입니다.
베어메탈 솔루션 네트워크 편집자 roles/baremetalsolution.networkseditor 베어메탈 솔루션 네트워킹 리소스의 편집자입니다. 이 역할은 네트워크를 모니터링하고 관리할 수 있는 권한을 받습니다.
베어메탈 솔루션 네트워크 뷰어 roles/baremetalsolution.networksviewer 베어메탈 솔루션 네트워킹 리소스의 뷰어입니다. 이 역할은 네트워크를 볼 수 있는 읽기 전용 권한을 받습니다.
베어메탈 솔루션 NFS 공유 관리자 roles/baremetalsolution.nfssharesadmin 베어메탈 솔루션 NFS 리소스의 관리자입니다.
베어메탈 솔루션 NFS 공유 편집자 roles/baremetalsolution.nfsshareseditor 베어메탈 솔루션 NFS 리소스의 편집자입니다. 이 역할은 NFS 파일 스토리지를 모니터링하고 관리할 수 있는 권한을 받습니다.
베어메탈 솔루션 NFS 공유 뷰어 roles/baremetalsolution.nfssharesviewer 베어메탈 솔루션 네트워크 리소스의 뷰어입니다. 이 역할은 NFS 파일 스토리지를 볼 수 있는 읽기 전용 권한을 받습니다.

위에 표시된 역할에 대해 다음과 같이 적용하는 것이 좋습니다.

  • 접수 양식 작성

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 인스턴스 관리자 및 Compute 네트워크 뷰어
    • 기본 역할: 관리자 또는 편집자
  • 베어메탈 솔루션 서버 다시 시작하기

    • 베어메탈 솔루션 역할: 관리자 또는 편집자
    • 기본 역할: 관리자 또는 편집자
  • 서버 나열 또는 상태 요청하기

    • 베어메탈 솔루션 역할: 뷰어 또는 인스턴스 뷰어
    • 기본 역할: 뷰어
  • 스토리지 구성요소 관리

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 스토리지 관리자
    • 기본 역할: 관리자 또는 편집자
  • 네트워킹 구성요소 관리

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 네트워크 관리자
    • 기본 역할: 관리자 또는 편집자

IAM 역할 부여

Identity and Access Management(IAM) 정책을 추가하여 베어메탈 솔루션 역할을 주 구성원(Cloud 프로젝트 사용자 또는 서비스 계정)에 부여합니다. 이 역할에는 주 구성원이 특정 작업을 수행할 수 있게 해주는 권한이 포함됩니다. 역할을 부여하려면 다음 안내를 따르세요.

  1. 소유자, 프로젝트 IAM 관리자, 보안 관리자와 같이 다른 사람에게 역할을 부여하기 위해 적절한 IAM 권한이 포함된 역할이 자신에게 있는지 확인합니다. 이 요구사항에 대한 자세한 내용은 필요한 권한을 참조하세요.
  2. Cloud 프로젝트에서 Cloud Shell 창을 엽니다.
  3. 클라우드 프로젝트 ID, 주 구성원의 Google Cloud 계정에 대한 이메일 주소, 원하는 베어메탈 솔루션 역할 경로를 다음 명령어에 추가합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. 명령어를 복사하여 Cloud Shell 창에 붙여넣습니다.

  5. Enter 또는 Return 키를 누릅니다.

  6. 경우에 따라 Cloud Shell 승인 창이 열리고 API 호출을 허용하도록 요청합니다. 메시지가 표시되면 승인을 클릭합니다.

  7. 명령어를 성공적으로 입력하면 출력은 다음과 같이 표시됩니다.

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

IAM에 대한 자세한 내용은 Identity and Access Management를 참조하세요.