베어메탈 솔루션의 IAM 구성

Google Cloud 프로젝트 사용자 또는 서비스 계정과 같은 주 구성원이 베어메탈 솔루션 환경의 리소스에 대해 액세스 권한을 갖도록 하려면 해당 주체에게 적절한 역할 및 사용 권한을 부여해야 합니다. 액세스 권한을 부여하려면 Identity and Access Management(IAM) 정책을 만들고 베어메탈 솔루션과 관련된 사전 정의된 역할을 부여하면 됩니다.

Google Cloud의 보안 최소 권한의 원칙을 따를 수 있도록 작업 수행을 위해 필요한 정도까지만 주 구성원에 필요한 권한이 포함된 역할을 부여합니다.

베어메탈 솔루션을 위한 사전 정의된 역할

베어메탈 솔루션의 각 IAM 역할에는 다음 표에 표시된 것처럼 리소스 관련 액세스 권한을 주 구성원에 부여하는 권한이 포함되어 있습니다.

역할 이름 경로 설명
베어메탈 솔루션 관리자 roles/baremetalsolution.admin
(소유자 기본 역할에도 이 권한이 있음)		 모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 전체 제어 권한입니다. 이 역할은 프로젝트 수준에서 읽기 및 쓰기 권한을 받습니다.
베어메탈 솔루션 편집자 roles/baremetalsolution.editor
(편집자 기본 역할에도 이 권한이 있음)		 모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 편집자 권한입니다. 이 역할은 프로젝트 수준에서 읽기 및 쓰기 권한을 받습니다.
베어메탈 솔루션 뷰어 roles/baremetalsolution.viewer
(뷰어 기본 역할도 이 권한이 있음)		 모든 현재 및 미래 베어메탈 솔루션 리소스에 대한 뷰어 권한입니다. 이 역할에는 프로젝트 수준의 읽기 전용 권한이 부여됩니다.
베어메탈 솔루션 인스턴스 관리자 roles/baremetalsolution.instancesadmin 베어메탈 솔루션 서버의 관리자 권한입니다.
베어메탈 솔루션 인스턴스 편집자 roles/baremetalsolution.instanceseditor 베어메탈 솔루션 서버의 편집자입니다. 이 역할에는 서버를 모니터링하고 관리할 수 있는 권한이 부여됩니다.
베어메탈 솔루션 인스턴스 뷰어 roles/baremetalsolution.instancesviewer 베어메탈 솔루션 서버의 뷰어 권한입니다. 이 역할에는 서버를 볼 수 있는 읽기 전용 권한이 부여됩니다.
베어메탈 솔루션 스토리지 관리자 roles/baremetalsolution.storageadmin 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 관리자입니다.
베어메탈 솔루션 스토리지 편집자 roles/baremetalsolution.storageeditor 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 편집자입니다. 이 역할에는 스토리지를 모니터링하고 관리할 수 있는 권한이 부여됩니다.
베어메탈 솔루션 스토리지 뷰어 roles/baremetalsolution.storageviewer 볼륨, LUN, 스냅샷, 스냅샷 일정 정책을 포함한 베어메탈 솔루션 스토리지 리소스의 뷰어입니다. 이 역할에는 스토리지를 볼 수 있는 읽기 전용 권한이 부여됩니다.
베어메탈 솔루션 네트워크 관리자 roles/baremetalsolution.networksadmin 베어메탈 솔루션 네트워킹 리소스의 관리자입니다.
베어메탈 솔루션 네트워크 편집자 roles/baremetalsolution.networkseditor 베어메탈 솔루션 네트워킹 리소스의 편집자입니다. 이 역할에는 네트워크를 모니터링하고 관리할 수 있는 권한이 부여됩니다.
베어메탈 솔루션 네트워크 뷰어 roles/baremetalsolution.networksviewer 베어메탈 솔루션 네트워킹 리소스의 뷰어입니다. 이 역할에는 네트워크를 볼 수 있는 읽기 전용 권한이 부여됩니다.
베어메탈 솔루션 NFS 공유 관리자 roles/baremetalsolution.nfssharesadmin 베어메탈 솔루션 NFS 리소스의 관리자입니다.
베어메탈 솔루션 NFS 공유 편집자 roles/baremetalsolution.nfsshareseditor 베어메탈 솔루션 NFS 리소스의 편집자입니다. 이 역할에는 NFS 파일 스토리지를 모니터링하고 관리할 수 있는 권한이 부여됩니다.
베어메탈 솔루션 NFS 공유 뷰어 roles/baremetalsolution.nfssharesviewer 베어메탈 솔루션 NFS 리소스의 뷰어입니다. 이 역할에는 NFS 파일 스토리지를 볼 수 있는 읽기 전용 권한이 부여됩니다.

위에 표시된 역할에 대해 다음과 같이 적용하는 것이 좋습니다.

  • 접수 양식 작성

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 인스턴스 관리자 및 Compute 네트워크 뷰어
    • 기본 역할: 소유자 또는 편집자

  • 베어메탈 솔루션 서버 다시 시작하기

    • 베어메탈 솔루션 역할: 관리자 또는 편집자
    • 기본 역할: 소유자 또는 편집자

  • 서버 나열 또는 상태 요청하기

    • 베어메탈 솔루션 역할: 뷰어 또는 인스턴스 뷰어
    • 기본 역할: 뷰어

  • 스토리지 구성요소 관리

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 스토리지 관리자
    • 기본 역할: 소유자 또는 편집자

  • 네트워킹 구성요소 관리

    • 베어메탈 솔루션 역할: 관리자, 편집자 또는 네트워크 관리자
    • 기본 역할: 소유자 또는 편집자

베어메탈 솔루션 역할의 전체 목록을 보려면 사전 정의된 역할을 참조하고 검색창에 baremetalsolution.을 입력하세요.

베어메탈 솔루션 권한의 전체 목록을 보려면 권한 검색을 참조하고 검색창에 baremetalsolution.을 입력합니다.

IAM 역할 부여

베어메탈 솔루션 역할을 주 구성원에 부여하도록 IAM 정책을 추가합니다. 이 역할에는 주 구성원이 특정 작업을 수행할 수 있게 해주는 권한이 포함됩니다. 역할 부여:

콘솔

  1. 소유자, 프로젝트 IAM 관리자, 보안 관리자와 같이 다른 사람에게 역할을 부여하기 위해 적절한 IAM 권한이 포함된 역할이 자신에게 있는지 확인합니다. 이 요구사항에 대한 자세한 내용은 필수 역할을 참조하세요.

  2. Google Cloud 콘솔에서 IAM 권한 페이지로 이동합니다.

    IAM으로 이동

  3. 액세스 권한 부여를 클릭합니다.

  4. 다음 정보를 입력합니다.

    • 주 구성원 추가에 사용자를 입력합니다. 개별 사용자, Google 그룹, 서비스 계정 또는 Google Workspace 도메인을 추가할 수 있습니다.

    • 역할 할당의 경우 역할 선택 메뉴에서 역할을 선택하여 주 구성원에게 이 역할을 부여합니다.

    • 주 구성원에 여러 역할을 할당해야 하는 경우 다른 역할 추가를 클릭합니다.

    • 저장을 클릭합니다.

    주 구성원과 할당된 역할이 IAM 권한 상태 페이지에 표시됩니다.

gcloud

  1. 소유자, 프로젝트 IAM 관리자, 보안 관리자와 같이 다른 사람에게 역할을 부여하기 위해 적절한 IAM 권한이 포함된 역할이 자신에게 있는지 확인합니다. 이 요구사항에 대한 자세한 내용은 필수 역할을 참조하세요.

  2. Google Cloud 프로젝트에서 Cloud Shell 창을 엽니다.

  3. Google Cloud 프로젝트 ID, 주 구성원의 Google Cloud 계정에 대한 이메일 주소, 원하는 베어메탈 솔루션 역할 경로를 다음 명령어에 추가합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
 --member=user:username@example.com \
 --role=roles/baremetalsolution.admin

  4. 명령어를 복사하여 Cloud Shell 창에 붙여넣습니다.

  5. Enter 또는 Return 키를 누릅니다.

  6. 경우에 따라 Cloud Shell 승인 창이 열리고 API 호출을 허용하도록 요청합니다. 메시지가 표시되면 승인을 클릭합니다.

  7. 명령어를 성공적으로 입력하면 출력은 다음과 같이 표시됩니다.

    Updated IAM policy for project [PROJECT_ID].
  bindings:
  - members:
   - user:username@example.com
   role: roles/baremetalsolution.admin
  - members:
   - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
   role: roles/compute.serviceAgent
  - members:
   - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
   - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
   role: roles/editor
  - members:
   - user:username@example.com
   role: roles/owner
  etag: ETAG_NUMBER
  version: 1

IAM에 대한 자세한 내용은 Identity and Access Management를 참조하세요.