IAM으로 Bigtable 액세스 제어
이 페이지에서는 Bigtable에서 사용할 수 있는 액세스 제어 옵션을 설명합니다.
개요
Bigtable은 Identity and Access Management(IAM)를 사용하여 액세스를 제어합니다.
Bigtable에서는 프로젝트, 인스턴스, 테이블, 승인된 뷰 수준에서 액세스 제어를 구성할 수 있습니다. 다음은 프로젝트 수준에서 액세스 제어를 사용하는 몇 가지 예시입니다.
- 사용자가 프로젝트 내의 모든 테이블에서 읽을 수 있지만 쓸 수는 없음
- 사용자가 프로젝트 내의 모든 테이블에서 읽고 쓸 수 있지만 인스턴스를 관리할 수 없음
- 사용자가 프로젝트 내의 모든 테이블에서 읽고 쓰고 인스턴스를 관리할 수 있음
다음은 인스턴스 수준에서 액세스 제어를 사용하는 몇 가지 예입니다.
- 사용자가 한 프로젝트에 있는 여러 인스턴스 중 인스턴스 하나에서만 모든 테이블에서 읽을 수 있습니다.
- 사용자가 한 프로젝트에 있는 여러 인스턴스 중 인스턴스 하나만 관리할 수 있습니다.
다음은 테이블 수준에서 액세스 제어를 사용하는 예시입니다.
- 사용자가 테이블에 쓸 수 있지만 테이블에서 읽을 수 없습니다.
- 사용자가 테이블에서 읽을 수 있지만 테이블에 쓸 수 없습니다.
다음은 백업 수준에서 액세스 제어를 사용하는 예시입니다.
- 사용자가 백업을 삭제하는 것을 방지합니다.
- 사용자가 백업을 복원하는 것을 방지합니다.
다음은 승인된 뷰 수준에서 액세스 제어를 사용하는 예시입니다.
- 사용자가 승인된 뷰를 읽을 수 있지만 수정할 수는 없습니다.
- 사용자가 테이블의 여러 승인된 뷰 중 하나의 데이터만 볼 수 있도록 합니다.
IAM 및 해당 기능에 대한 자세한 설명은 IAM 개발자 가이드를 참조하세요. 특히 액세스 권한 부여, 변경, 취소를 확인하시기 바랍니다.
Bigtable에서는 다음 유형의 주 구성원에 액세스 권한을 부여할 수 없습니다.
Bigtable에서 지원하는 권한과 역할의 목록은 다음 섹션을 참조하세요.
Bigtable API 사용 설정
Bigtable IAM 역할을 보고 할당하려면 프로젝트에 Bigtable API를 사용 설정해야 합니다. API를 사용 설정할 때까지는 Google Cloud Console에서 Bigtable 역할을 볼 수 없습니다.
권한
이 섹션에서는 Bigtable에서 지원하는 권한을 요약합니다.
사용자는 권한을 통해 Bigtable 리소스에서 특정 작업을 실행할 수 있습니다. 예를 들어 bigtable.instances.list 권한이 있으면 사용자가 프로젝트 내에 있는 모든 Bigtable 인스턴스를 나열할 수 있습니다. 직접 권한을 부여하는 대신 사전 정의된 역할이나 커스텀 역할을 사용자에게 할당하면 해당 사용자에게 한 개 이상의 권한이 부여됩니다.
다음 표에는 Bigtable과 관련된 IAM 권한이 나열되어 있습니다.
| 앱 프로필 권한 이름 | 설명 |
|---|---|
bigtable.appProfiles.create |
Bigtable 앱 프로필을 만듭니다. |
bigtable.appProfiles.delete |
Bigtable 앱 프로필을 삭제합니다. |
bigtable.appProfiles.get |
Bigtable 앱 프로필에 대한 정보를 가져옵니다. |
bigtable.appProfiles.list |
인스턴스의 Bigtable 앱 프로필을 나열합니다. |
bigtable.appProfiles.update |
Bigtable 앱 프로필의 설정을 업데이트합니다. |
| 백업 권한 이름 | 설명 |
|---|---|
bigtable.backups.create |
Bigtable 백업을 만듭니다. |
bigtable.backups.delete |
Bigtable 백업을 삭제합니다. |
bigtable.backups.get |
Bigtable 백업에 대한 정보를 가져옵니다. |
bigtable.backups.getIamPolicy |
백업의 액세스 제어 목록(ACL)을 읽습니다. IAM 정책으로 반환됩니다. |
bigtable.backups.list |
Bigtable 백업을 나열합니다. |
bigtable.backups.restore |
Bigtable 백업에서 복원합니다. |
bigtable.backups.testIamPermissions |
지정된 백업에 대해 호출자 권한을 가져옵니다. |
bigtable.backups.read |
Bigtable 백업에서 읽습니다. |
bigtable.backups.setIamPolicy |
백업 ACL을 업데이트합니다. |
bigtable.backups.update |
Bigtable 백업의 만료를 수정합니다. |
| 클러스터 권한 이름 | 설명 |
|---|---|
bigtable.clusters.create |
Bigtable 클러스터를 만듭니다. |
bigtable.clusters.delete |
Bigtable 클러스터를 삭제합니다. |
bigtable.clusters.get |
Bigtable 클러스터에 대한 정보를 가져옵니다. |
bigtable.clusters.list |
인스턴스의 Bigtable 클러스터를 나열합니다. |
bigtable.clusters.update |
Bigtable 클러스터에 대한 설정을 업데이트합니다. |
| 핫 태블릿 권한 이름 | 설명 |
|---|---|
bigtable.hotTablets.list |
클러스터의 핫 태블릿을 나열합니다. |
| 인스턴스 권한 이름 | 설명 |
|---|---|
bigtable.instances.create |
Bigtable 인스턴스를 만듭니다. |
bigtable.instances.createTagBinding |
태그를 만듭니다. |
bigtable.instances.delete |
Bigtable 인스턴스를 삭제합니다. |
bigtable.instances.deleteTagBinding |
태그를 삭제합니다. |
bigtable.instances.get |
Bigtable 인스턴스에 대한 정보를 가져옵니다. |
bigtable.instances.getIamPolicy |
인스턴스 액세스제어 목록(ACL)을 읽습니다. IAM 정책으로 반환됩니다. |
bigtable.instances.list |
프로젝트의 Bigtable 인스턴스를 나열합니다. |
bigtable.instances.listEffectiveTagBindings |
인스턴스에 적용되는 모든 태그를 나열합니다. |
bigtable.instances.listTagBindings |
인스턴스의 태그를 나열합니다. |
bigtable.instances.ping |
채널 프라이밍 요청을 전송합니다. |
bigtable.instances.setIamPolicy |
ACL을 업데이트합니다. |
bigtable.instances.update |
Bigtable 인스턴스에 대한 설정을 업데이트합니다. |
| Key Visualizer 권한 이름 | 설명 |
|---|---|
bigtable.keyvisualizer.get |
액세스 패턴 및 row key 배포에 대한 메타데이터를 포함하여 테이블에 대한 Key Visualizer 정보를 가져옵니다. |
bigtable.keyvisualizer.list |
테이블의 사용 가능한 Key Visualizer 정보를 나열합니다. |
| 위치 권한 이름 | 설명 |
|---|---|
bigtable.locations.list |
Bigtable 위치를 나열합니다. |
| 테이블 권한 이름 | 설명 |
|---|---|
bigtable.tables.checkConsistency |
복제된 테이블이 최신 상태인지 확인합니다. |
bigtable.tables.create |
테이블을 만듭니다. |
bigtable.tables.delete |
테이블을 삭제합니다. |
bigtable.tables.generateConsistencyToken |
복제된 테이블이 최신 상태인지 확인하기 위해 토큰을 만듭니다. |
bigtable.tables.get |
열 그룹과 해당 개별 설정을 포함한 테이블 정보를 가져옵니다. |
bigtable.tables.getIamPolicy |
테이블 ACL을 읽습니다. IAM 정책으로 반환됩니다. |
bigtable.tables.list |
인스턴스의 테이블을 나열합니다. |
bigtable.tables.mutateRows |
테이블 내의 행을 수정하거나 테이블을 자릅니다. |
bigtable.tables.readRows |
테이블에서 행을 읽습니다. 여기에는 column family 및 개별 설정과 같은 테이블에 대한 정보가 포함됩니다. |
bigtable.tables.sampleRowKeys |
테이블에 사용되는 행 키의 샘플을 가져옵니다. |
bigtable.tables.setIamPolicy |
테이블 ACL을 업데이트합니다. |
bigtable.tables.undelete |
삭제된 테이블을 복구합니다. |
bigtable.tables.update |
열 그룹과 해당 개별 설정을 포함한 테이블 설정을 업데이트합니다. |
| 위치 권한 이름 | 설명 |
|---|---|
bigtable.locations.list |
Bigtable 위치를 나열합니다. |
| 승인된 뷰 권한 이름 | 설명 |
|---|---|
bigtable.authorizedViews.create |
승인된 뷰를 만듭니다. |
bigtable.authorizedViews.delete |
승인된 뷰를 삭제합니다. |
bigtable.authorizedViews.get |
승인된 뷰에 대한 정보를 가져옵니다. |
bigtable.authorizedViews.getIamPolicy |
승인된 뷰에 대한 뷰 액세스 제어 IAM 정책으로 반환됩니다. |
bigtable.authorizedViews.list |
테이블에서 승인된 뷰를 나열합니다. |
bigtable.authorizedViews.mutateRows |
승인된 뷰 내에서 행을 수정합니다. |
bigtable.authorizedViews.readRows |
승인된 뷰에서 행을 읽습니다. |
bigtable.authorizedViews.sampleRowKeys |
승인된 뷰에서 사용되는 row key 샘플을 가져옵니다. |
bigtable.authorizedViews.setIamPolicy |
승인된 뷰의 액세스 제어 정책을 업데이트합니다. |
bigtable.authorizedViews.update |
승인된 뷰의 설정을 업데이트합니다. |
사전 정의된 역할
사전 정의된 각 역할은 하나 이상의 권한을 묶은 번들입니다. 예를 들어 roles/bigtable.reader는 Bigtable 인스턴스, 클러스터, 테이블, Column Family는 물론, 테이블 내에 포함된 데이터까지 해당 정보에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트의 리소스에 작업을 수행할 수 있는 역할을 사용자나 그룹에 할당합니다.
다음 표에는 각 역할과 관련된 권한 목록을 비롯하여 Bigtable에 대한 사전 정의된 역할이 나열되어 있습니다.
| Role | Permissions |
|---|---|
Bigtable Administrator( Administers all Bigtable instances within a project, including the data stored within tables. Can create new instances. Intended for project administrators. Lowest-level resources where you can grant this role:
|
|
Bigtable Reader( Provides read-only access to the data stored within Bigtable tables. Intended for data scientists, dashboard generators, and other data-analysis scenarios. Lowest-level resources where you can grant this role:
|
|
Bigtable User( Provides read-write access to the data stored within Bigtable tables. Intended for application developers or service accounts. Lowest-level resources where you can grant this role:
|
|
Bigtable Viewer( Provides no data access. Intended as a minimal set of permissions to access the Google Cloud console for Bigtable. Lowest-level resources where you can grant this role:
|
|
커스텀 역할
Bigtable의 사전 정의된 역할로 비즈니스 요구사항이 해결되지 않으면 권한을 지정하여 자체 커스텀 역할을 정의할 수 있습니다.
커스텀 역할이 Google Cloud console에 대한 액세스를 지원해야 하는 경우 사용자가 수행할 작업을 파악한 후 커스텀 역할이 해당 작업에 필요한 권한(아래 표 참조)을 갖고 있는지 확인해야 합니다. 커스텀 역할에 작업의 모든 필수 권한이 포함되지 않은 상태에서 사용자가 해당 작업을 수행하려고 시도하면 Google Cloud console이 올바르게 작동하지 않습니다.
| Google Cloud Console 태스크 | 필수 권한 |
|---|---|
| Google Cloud Console 기본 액세스 |
|
| 인스턴스 또는 클러스터 만들기 |
기본 액세스 권한 및
|
| 인스턴스 또는 클러스터 수정 |
기본 액세스 권한 및
|
| 복제 구성 관리 |
기본 액세스 권한 및
|
| 인스턴스 또는 클러스터 삭제 |
기본 액세스 권한 및
|
| 그래프를 보고 인스턴스 모니터링 |
기본 액세스 권한 및
|
| 테이블 만들기 및 업데이트 |
기본 액세스 권한 및
|
| 백업 복원 |
기본 액세스 권한 및
|
IAM 관리
이 섹션에서는 프로젝트, 인스턴스, 테이블, 백업 수준에서 IAM 역할 및 관련 권한을 관리하는 방법을 설명합니다.
프로젝트 수준 IAM 관리
프로젝트 수준에서 Google Cloud Console, IAM API 또는 Google Cloud CLI를 사용하여 IAM 역할을 부여, 변경, 취소할 수 있습니다. 자세한 지침은 액세스 권한 부여, 변경, 취소를 참조하세요.
프로젝트를 만들면 특정 액세스 수준에 따라 사용자에게 프로젝트 수준의 IAM 역할을 부여할 수 있습니다.
필요한 역할
사용자의 인스턴스 수준, 테이블 수준, 백업 수준, 승인된 뷰 수준 IAM 역할을 설정하기 전에 사용자에게 다음 프로젝트 수준 IAM 역할 중 하나 이상이 있는지 확인합니다.
- Bigtable 뷰어(권장)
- Bigtable 리더
- Bigtable 사용자
- Bigtable 관리자
프로젝트의 모든 인스턴스, 테이블, 백업 또는 승인된 뷰에서 사용자에게 실제로 필요한 권한만 있는 프로젝트 수준 역할을 선택합니다. 이러한 이유로 거의 모든 경우에 Bigtable 뷰어 역할을 부여해야 합니다.
사용자에게 이러한 프로젝트 수준 역할 중 하나 이상이 없으면 사용자가 Google Cloud 콘솔을 통해 Bigtable에 액세스할 수 없습니다. Google Cloud 콘솔이 사용자를 대신하여 인스턴스, 클러스터, 테이블, 백업에 대한 정보를 검색할 수 있으려면 이러한 프로젝트 수준 역할 중 하나가 필요합니다.
인스턴스 수준 IAM 역할 부여하기
인스턴스 수준에서는 Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.
인스턴스 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면
Console
Google Cloud Console에서 Bigtable 인스턴스 페이지로 이동합니다.
관리하려는 역할의 인스턴스 옆에 있는 체크박스를 선택합니다. 정보 패널이 나타납니다.
정보 패널에서 권한을 클릭합니다.
주 구성원 추가 아래에서 추가할 사용자 또는 서비스 계정의 이메일 주소를 일부 입력한 후 표시되는 해당 사용자 또는 서비스 계정의 이메일 주소를 클릭합니다.
역할 선택 드롭다운 목록을 클릭한 다음 Bigtable을 클릭하여 사전 정의된 역할을 선택하거나 커스텀을 선택하여 커스텀 역할을 선택합니다.
할당할 각 역할의 이름을 클릭합니다.
추가를 클릭합니다. 인스턴스 수준에서 지정한 역할이 사용자 또는 서비스 계정에 부여됩니다.
gcloud
인스턴스 ID를 모르면
bigtable instances list명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.gcloud bigtable instances listbigtable instances set-iam-policy명령어를 사용합니다.gcloud bigtable instances set-iam-policy \ INSTANCE_ID \ POLICY_FILE다음을 제공합니다.
- INSTANCE_ID: 인스턴스의 영구 식별자입니다.
- POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.
테이블 수준 IAM 역할 부여
테이블 수준에서는 Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.
테이블 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면 다음 안내를 따르세요.
Console
Google Cloud Console에서 Bigtable 인스턴스 페이지로 이동합니다.
설정하려는 IAM의 테이블이 포함된 인스턴스 이름을 클릭합니다.
왼쪽 탐색창에서 테이블을 선택합니다.
역할을 관리하려는 테이블 옆의 상자를 선택합니다. 정보 패널이 나타납니다.
정보 패널에서 권한을 클릭합니다.
주 구성원 추가 아래에서 추가할 사용자 또는 서비스 계정의 이메일 주소를 일부 입력한 후 표시되는 해당 사용자 또는 서비스 계정의 이메일 주소를 클릭합니다.
역할 선택 드롭다운 목록을 클릭한 다음 Bigtable을 클릭하여 사전 정의된 역할을 선택하거나 커스텀을 선택하여 커스텀 역할을 선택합니다.
할당할 각 역할의 이름을 클릭합니다.
추가를 클릭합니다. 테이블 수준에 지정한 역할이 사용자 또는 서비스 계정에 부여됩니다.
gcloud
인스턴스 ID를 모르면
bigtable instances list명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.gcloud bigtable instances list인스턴스의 테이블 ID를 모르면
bigtable instances tables list명령어를 사용하여 인스턴스의 테이블 목록을 확인합니다.gcloud bigtable instances tables list --instances=INSTANCE_ID다음을 제공합니다.
- INSTANCE_ID: 인스턴스의 영구 식별자입니다.
bigtable instances tables set-iam-policy명령어를 사용합니다.gcloud bigtable instances tables set-iam-policy \TABLE_ID \ --instance=INSTANCE_ID \ POLICY_FILE다음을 제공합니다.
- TABLE_ID: 테이블의 영구 식별자입니다.
- INSTANCE_ID: 인스턴스의 영구 식별자입니다.
- POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.
백업 수준 IAM 역할 부여
백업 수준에서는 Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.
백업 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면
gcloud
인스턴스 ID를 모르면
bigtable instances list명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.gcloud bigtable instances list인스턴스의 백업 ID를 모르는 경우
bigtable instances backups list명령어를 사용하여 인스턴스의 백업 목록을 확인합니다.gcloud bigtable backups list --instances=INSTANCE_ID다음을 제공합니다.
- INSTANCE_ID: 인스턴스의 영구 식별자입니다.
gcloud bigtable backups set-iam-policy명령어를 사용합니다.gcloud bigtable backups set-iam-policy BACKUP_ID \ --instance=INSTANCE_ID \ --cluster=CLUSTER_ID \ POLICY_FILE다음을 제공합니다.
- BACKUP_ID: 백업의 영구 식별자입니다.
- INSTANCE_ID: 인스턴스의 영구 식별자입니다.
TABLE_ID: 테이블의 영구 식별자입니다.POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.
승인된 뷰 수준 IAM 역할 부여
승인된 뷰 수준에서는 Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.
승인된 뷰 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면 다음을 실행합니다.
gcloud
인스턴스 ID를 모르면
bigtable instances list명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.gcloud bigtable instances list인스턴스의 테이블 ID를 모르면
bigtable instances tables list명령어를 사용하여 인스턴스의 테이블 목록을 확인합니다.gcloud bigtable instances tables list --instances=INSTANCE_ID뷰 ID를 모르는 경우
bigtable authorized-views list명령어를 사용하여 테이블의 모든 승인된 뷰 목록을 확인합니다.gcloud bigtable instances tables authorized-views list \ --instance=INSTANCE_ID \ --table=TABLE_IDbigtable authorized-views set-iam-policy명령어를 사용합니다.gcloud bigtable authorized-views set-iam-policy TABLE_ID \ AUTHORIZED_VIEW_ID --instance=INSTANCE_ID POLICY_FILE다음을 제공합니다.
INSTANCE_ID: 인스턴스의 영구 식별자입니다.TABLE_ID: 테이블의 영구 식별자입니다.AUTHORIZED_VIEW_ID: 뷰의 영구 식별자입니다.POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.
IAM 조건
IAM 조건을 사용하면 Bigtable 리소스가 포함된 일부 Google Cloud 리소스에 조건부 속성 기반 액세스 제어를 정의하고 적용할 수 있습니다.
Bigtable에서는 다음 속성을 기준으로 조건부 액세스를 적용할 수 있습니다.
- 날짜/시간 속성: Bigtable 리소스에 대해 임시(만료됨), 예약, 기간 제한 액세스를 설정하기 위해 사용됩니다. 예를 들어 지정된 날짜까지 사용자가 테이블에 액세스하도록 허용할 수 있습니다.
- 리소스 속성: 리소스 이름, 리소스 유형 또는 리소스 서비스 속성을 기준으로 조건부 액세스를 구성하는 데 사용합니다. Bigtable에서는 인스턴스, 클러스터, 테이블, 백업, 승인된 뷰의 속성을 사용하여 조건부 액세스를 구성할 수 있습니다. 예를 들어 사용자가 특정 프리픽스로 시작하는 테이블에서만 테이블을 관리하도록 허용하거나 특정 테이블에만 액세스하도록 허용할 수 있습니다.
IAM 조건에 대한 자세한 내용은 조건 개요를 참조하세요.
다음 단계
IAM 자세히 알아보기