액세스 제어

이 페이지에서는 Cloud Bigtable에서 사용할 수 있는 액세스 제어 옵션을 설명합니다.

개요

Cloud Bigtable은 ID 및 액세스 관리(IAM)를 사용하여 액세스를 제어합니다.

Cloud Bigtable에서는 프로젝트, 인스턴스, 테이블 수준에서 액세스 제어를 구성할 수 있습니다. 다음은 프로젝트 수준에서 액세스 제어를 사용하는 몇 가지 예시입니다.

  • 사용자가 프로젝트 내의 모든 테이블에서 읽을 수 있지만 쓸 수는 없음
  • 사용자가 프로젝트 내의 모든 테이블에서 읽고 쓸 수 있지만 인스턴스를 관리할 수 없음
  • 사용자가 프로젝트 내의 모든 테이블에서 읽고 쓰고 인스턴스를 관리할 수 있음

다음은 인스턴스 수준에서 액세스 제어를 사용하는 몇 가지 예입니다.

  • 사용자가 한 프로젝트에 있는 여러 인스턴스 중 인스턴스 하나에서만 모든 테이블에서 읽을 수 있습니다.
  • 사용자가 한 프로젝트에 있는 여러 인스턴스 중 인스턴스 하나만 관리할 수 있습니다.

다음은 테이블 수준에서 액세스 제어를 사용하는 예시입니다.

  • 사용자가 테이블에 쓸 수 있지만 테이블에서 읽을 수 없습니다.
  • 사용자가 테이블에서 읽을 수 있지만 테이블에 쓸 수 없습니다.

IAM 및 해당 기능에 대한 자세한 설명은 IAM 개발자 가이드를 참조하세요. 특히 프로젝트 구성원에 대한 액세스 권한 부여, 변경, 취소 부분을 참조하세요.

Cloud Bigtable에서는 다음 구성원 유형에 대한 액세스 권한을 부여할 수 없습니다.

Cloud Bigtable에서 지원하는 권한과 역할의 목록은 다음 섹션을 참조하세요.

Cloud Bigtable API 사용 설정하기

Cloud Bigtable IAM 역할을 보고 할당하려면 프로젝트에 Cloud Bigtable API를 사용 설정해야 합니다. API를 사용 설정할 때까지 Cloud Console에서 Cloud Bigtable 역할을 볼 수 없습니다.

API 사용 설정

권한

이 섹션에서는 Cloud Bigtable에서 지원하는 권한을 요약합니다.

사용자는 권한을 통해 Cloud Bigtable 리소스에서 특정 작업을 실행할 수 있습니다. 예를 들어 bigtable.instances.list 권한이 있으면 사용자가 프로젝트 내에 있는 모든 Cloud Bigtable 인스턴스를 나열할 수 있습니다. 직접 권한을 부여하는 대신 사전 정의된 역할이나 커스텀 역할을 사용자에게 할당하면 해당 사용자에게 한 개 이상의 권한이 부여됩니다.

다음 표에는 Cloud Bigtable과 관련된 IAM 권한이 나열되어 있습니다.

위치 권한 이름 설명
bigtable.locations.list Cloud Bigtable 위치를 나열합니다.
인스턴스 권한 이름 설명
bigtable.instances.create Cloud Bigtable 인스턴스를 만듭니다.
bigtable.instances.delete Cloud Bigtable 인스턴스를 삭제합니다.
bigtable.instances.get Cloud Bigtable 인스턴스에 대한 정보를 가져옵니다.
bigtable.instances.getIamPolicy 인스턴스 액세스제어 목록(ACL)을 읽습니다. IAM 정책으로 반환됩니다.
bigtable.instances.list 프로젝트의 Cloud Bigtable 인스턴스를 나열합니다.
bigtable.instances.setIamPolicy ACL을 업데이트합니다.
bigtable.instances.update Cloud Bigtable 인스턴스에 대한 설정을 업데이트합니다.
앱 프로필 권한 이름 설명
bigtable.appProfiles.create Cloud Bigtable 앱 프로필을 만듭니다.
bigtable.appProfiles.delete Cloud Bigtable 앱 프로필을 삭제합니다.
bigtable.appProfiles.get Cloud Bigtable 앱 프로필에 대한 정보를 가져옵니다.
bigtable.appProfiles.list 인스턴스의 Cloud Bigtable 앱 프로필을 나열합니다.
bigtable.appProfiles.update Cloud Bigtable 앱 프로필의 설정을 업데이트합니다.
백업 권한 이름 설명
bigtable.backups.create Cloud Bigtable 백업을 만듭니다.
bigtable.backups.get Cloud Bigtable 백업을 가져옵니다.
bigtable.backups.list Cloud Bigtable 백업을 나열합니다.
bigtable.backups.delete Cloud Bigtable 백업을 삭제합니다.
bigtable.backups.update Cloud Bigtable 백업의 만료를 수정합니다.
bigtable.backups.restore Cloud Bigtable 백업을 복원합니다.
클러스터 권한 이름 설명
bigtable.clusters.create Cloud Bigtable 클러스터를 만듭니다.
bigtable.clusters.delete Cloud Bigtable 클러스터를 삭제합니다.
bigtable.clusters.get Cloud Bigtable 클러스터에 대한 정보를 가져옵니다.
bigtable.clusters.list 인스턴스의 Cloud Bigtable 클러스터를 나열합니다.
bigtable.clusters.update Cloud Bigtable 클러스터에 대한 설정을 업데이트합니다.
테이블 권한 이름 설명
bigtable.tables.checkConsistency 복제된 테이블이 최신 상태인지 확인합니다.
bigtable.tables.create 테이블을 만듭니다.
bigtable.tables.delete 테이블을 삭제합니다.
bigtable.tables.generateConsistencyToken 복제된 테이블이 최신 상태인지 확인하기 위해 토큰을 만듭니다.
bigtable.tables.get 열 그룹과 해당 개별 설정을 포함한 테이블 정보를 가져옵니다.
bigtable.tables.getIamPolicy 테이블 ACL을 읽습니다. IAM 정책으로 반환됩니다.
bigtable.tables.list 인스턴스의 테이블을 나열합니다.
bigtable.tables.mutateRows 테이블 내의 행을 수정하거나 테이블을 자릅니다.
bigtable.tables.readRows 테이블에서 행을 읽습니다.
bigtable.tables.sampleRowKeys 테이블에 사용되는 행 키의 샘플을 가져옵니다.
bigtable.tables.setIamPolicy 테이블 ACL을 업데이트합니다.
bigtable.tables.update 열 그룹과 해당 개별 설정을 포함한 테이블 설정을 업데이트합니다.

다음 표에는 Key Visualizer와 연결된 IAM 권한이 나와 있습니다.

Key Visualizer 권한 이름 설명
bigtable.keyvisualizer.get 액세스 패턴 및 row key 배포에 대한 메타데이터를 포함하여 테이블에 대한 Key Visualizer 정보를 가져옵니다.
bigtable.keyvisualizer.list 테이블의 사용 가능한 Key Visualizer 정보를 나열합니다.

사전 정의된 역할

사전 정의된 각 역할은 하나 이상의 권한을 묶은 번들입니다. 예를 들어 roles/bigtable.reader는 Cloud Bigtable 인스턴스, 클러스터, 테이블, Column Family는 물론, 테이블 내에 포함된 데이터까지 해당 정보에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트의 리소스에 작업을 수행할 수 있는 역할을 사용자나 그룹에 할당합니다.

다음 표에는 각 역할과 관련된 권한 목록을 비롯하여 Cloud Bigtable에 대한 사전 정의된 역할이 나열되어 있습니다.

역할 권한 설명
roles/bigtable.admin

모든 Cloud Bigtable 기능에 대한 액세스:

bigtable.*.*

Cloud Console에서 모니터링 그래프에 대한 보기 액세스:

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list

프로젝트 수준 메타데이터에 대한 액세스:

resourcemanager.projects.get

테이블 내에 저장된 데이터를 비롯하여 프로젝트 내의 모든 인스턴스를 관리합니다. 새 인스턴스를 만들 수 있습니다. 프로젝트 관리자용입니다. 여기에는 Key Visualizer에 대한 액세스 권한이 포함됩니다.
roles/bigtable.user

인스턴스, 클러스터, 테이블, column family의 메타데이터에 대한 읽기 전용 액세스:

  • bigtable.*.get
  • bigtable.*.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken

테이블에 대한 읽기/쓰기 액세스:

  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys

Cloud Console에서 모니터링 그래프에 대한 보기 액세스:

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list

프로젝트 수준 메타데이터에 대한 액세스:

resourcemanager.projects.get

테이블 내에 저장된 데이터에 대한 읽기/쓰기 액세스를 제공합니다. 애플리케이션 개발자나 서비스 계정용입니다. 여기에는 Key Visualizer에 대한 액세스 권한이 포함됩니다.
roles/bigtable.reader

인스턴스, 클러스터, 테이블, column family의 메타데이터에 대한 읽기 전용 액세스:

  • bigtable.*.get
  • bigtable.*.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken

테이블에 대한 읽기 전용 액세스:

  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys

Cloud Console에서 모니터링 그래프에 대한 보기 액세스:

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list

프로젝트 수준 메타데이터에 대한 액세스:

resourcemanager.projects.get

테이블 내에 저장된 데이터에 대한 읽기 전용 액세스를 제공합니다. 데이터과학자, 대시보드 생성기, 기타 데이터 분석 시나리오용입니다. 여기에는 Key Visualizer에 대한 액세스 권한이 포함됩니다.
roles/bigtable.viewer

인스턴스, 클러스터, 테이블, column family의 메타데이터에 대한 읽기 전용 액세스:

  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list

Cloud Console에서 모니터링 그래프에 대한 보기 액세스:

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list

프로젝트 수준 메타데이터에 대한 액세스:

resourcemanager.projects.get

데이터 액세스를 제공하지 않습니다. Cloud Bigtable용 Cloud Console에 액세스할 수 있는 최소 권한 집합으로 사용됩니다. 여기에는 Key Visualizer에 대한 액세스 권한이 포함되지 않습니다.

맞춤 역할

Cloud Bigtable의 사전 정의된 역할로 비즈니스 요구사항이 해결되지 않으면 권한을 지정하여 자체 커스텀 역할을 정의할 수 있습니다.

커스텀 역할이 Cloud Console 액세스를 지원해야 할 경우, 사용자가 수행할 작업을 식별하고, 아래 테이블에 표시된 것처럼 각 작업의 필수 권한이 커스텀 역할에 포함되었는지 확인해야 합니다. 커스텀 역할에 작업의 모든 필수 권한이 포함되지 않은 상태에서 사용자가 해당 작업을 수행하려고 시도하면 Cloud Console이 올바르게 작동하지 않습니다.

Cloud Console 작업 필수 권한
Cloud Console 기본 액세스
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.list
  • resourcemanager.projects.get
인스턴스 또는 클러스터 만들기

기본 액세스 권한 및

  • bigtable.clusters.create
  • bigtable.instances.create
인스턴스 또는 클러스터 수정

기본 액세스 권한 및

  • bigtable.clusters.update
  • bigtable.instances.update
복제 구성 관리

기본 액세스 권한 및

  • bigtable.appProfiles.create
  • bigtable.appProfiles.delete
  • bigtable.appProfiles.update
인스턴스 또는 클러스터 삭제

기본 액세스 권한 및

  • bigtable.clusters.delete
  • bigtable.instances.delete
그래프를 보고 인스턴스 모니터링

기본 액세스 권한 및

  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list

프로젝트 수준 IAM 관리

프로젝트 수준에서 Google Cloud Console, IAM API, gcloud 명령줄 도구를 사용하여 IAM 역할 권한 부여, 변경, 취소를 수행할 수 있습니다. 자세한 지침은 프로젝트 구성원에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.

인스턴스 수준 IAM 관리

이 섹션에서는 인스턴스 수준에서 Cloud Bigtable IAM 역할을 관리하는 방법을 설명합니다.

시작하기 전에

사용자에 대한 인스턴스 수준 IAM 역할을 설정하기 전에 사용자에게 다음 프로젝트 수준 IAM 역할이 하나 이상 있는지 확인합니다.

  • Bigtable 뷰어(권장)
  • Bigtable 리더
  • Bigtable 사용자
  • Bigtable 관리자

프로젝트의 모든 인스턴스에서 사용자에게 실제로 필요한 권한만 있는 프로젝트 수준 역할을 선택합니다. 이러한 이유로 거의 모든 경우에 Bigtable 뷰어 역할을 부여해야 합니다.

사용자에게 이러한 프로젝트 수준 역할 중 하나 이상이 없으면 사용자가 Cloud Console을 통해 Cloud Bigtable에 액세스할 수 없습니다. Cloud Console이 사용자를 대신해서 인스턴스 및 클러스터에 대한 정보를 검색할 수 있으려면 이러한 프로젝트 수준 역할 중 하나가 필요합니다.

인스턴스 수준 IAM 역할 부여하기

인스턴스 수준에서는 Cloud Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.

인스턴스 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면

Console

  1. Cloud Console에서 Cloud Bigtable 인스턴스 페이지로 이동합니다.

    인스턴스 페이지로 이동

  2. 관리하려는 역할의 인스턴스 옆에 있는 체크박스를 선택합니다. 정보 패널이 나타납니다.

  3. 정보 패널에서 권한을 클릭합니다.

  4. 구성원 추가 아래에서 추가할 사용자 또는 서비스 계정의 이메일 주소를 일부 입력한 후 표시되는 해당 사용자 또는 서비스 계정의 이메일 주소를 클릭합니다.

  5. 역할 선택 드롭다운 목록을 클릭한 다음 Cloud Bigtable을 클릭하여 사전 정의된 역할을 선택하거나 커스텀을 선택하여 커스텀 역할을 선택합니다.

  6. 할당할 각 역할의 이름을 클릭합니다.

  7. 추가를 클릭합니다. 인스턴스 수준에서 지정한 역할이 사용자 또는 서비스 계정에 부여됩니다.

gcloud

  1. 인스턴스 ID를 모르면 bigtable instances list 명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.

    gcloud bigtable instances list
    
  2. bigtable instances set-iam-policy 명령어를 사용합니다.

    gcloud bigtable instances set-iam-policy INSTANCE_ID POLICY_FILE
    

    다음 값을 제공합니다.

    • INSTANCE_ID: 인스턴스의 영구 식별자입니다.
    • POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.

테이블 수준 IAM 관리

이 섹션에서는 테이블 수준에서 Cloud Bigtable IAM 역할을 관리하는 방법을 설명합니다.

시작하기 전에

사용자에 대해 테이블 수준 IAM 역할을 설정하기 전, 사용자에게 최소한 다음 프로젝트 수준 IAM 역할 중 하나 이상이 있는지 확인합니다.

  • Bigtable 뷰어(권장)
  • Bigtable 리더
  • Bigtable 사용자
  • Bigtable 관리자

사용자에게 실제로 필요한 권한만 있는 프로젝트 수준 역할을 선택합니다. 이러한 이유로 거의 모든 경우에 Bigtable 뷰어 역할을 부여해야 합니다.

사용자에게 이러한 프로젝트 수준 역할 중 하나 이상이 없으면 사용자가 Cloud Console을 통해 Cloud Bigtable에 액세스할 수 없습니다. Cloud Console이 인스턴스, 클러스터, 테이블에 대한 정보를 검색할 수 있으려면 이러한 프로젝트 수준 역할 중 하나가 필요합니다.

테이블 수준 IAM 역할 부여

테이블 수준에서는 Cloud Bigtable의 사전 정의된 역할을 사용자 또는 서비스 계정에 부여할 수 있습니다. 정의한 커스텀 역할을 부여할 수도 있습니다.

테이블 수준에서 사용자 또는 서비스 계정에 사전 정의된 역할이나 커스텀 역할을 부여하려면 다음 안내를 따르세요.

Console

  1. Cloud Console에서 Cloud Bigtable 인스턴스 페이지로 이동합니다.

    인스턴스 페이지로 이동

  2. 설정하려는 IAM의 테이블이 포함된 인스턴스 이름을 클릭합니다.

  3. 왼쪽 탐색창에서 테이블을 선택합니다.

  4. 역할을 관리하려는 테이블 옆의 상자를 선택합니다. 정보 패널이 나타납니다.

  5. 정보 패널에서 권한을 클릭합니다.

  6. 구성원 추가 아래에서 추가할 사용자 또는 서비스 계정의 이메일 주소를 일부 입력한 후 표시되는 해당 사용자 또는 서비스 계정의 이메일 주소를 클릭합니다.

  7. 역할 선택 드롭다운 목록을 클릭한 다음 Cloud Bigtable을 클릭하여 사전 정의된 역할을 선택하거나 커스텀을 선택하여 커스텀 역할을 선택합니다.

  8. 할당할 각 역할의 이름을 클릭합니다.

  9. 추가를 클릭합니다. 테이블 수준에 지정한 역할이 사용자 또는 서비스 계정에 부여됩니다.

gcloud

  1. 인스턴스 ID를 모르면 bigtable instances list 명령어를 사용하여 프로젝트 인스턴스 목록을 확인합니다.

    gcloud bigtable instances list
    
  2. 인스턴스의 클러스터 ID를 모르면 bigtable clusters list 명령어를 사용하여 인스턴스의 클러스터 목록을 확인합니다.

    gcloud bigtable clusters list --instances=INSTANCE_ID
    
  3. bigtable instances tables set-iam-policy 명령어를 사용합니다.

    gcloud beta bigtable instances tables set-iam-policy TABLE_ID \
        --instance=INSTANCE_ID POLICY_FILE
    

    다음 값을 제공합니다.

    • INSTANCE_ID: 인스턴스의 영구 식별자입니다.
    • POLICY_FILE: 유효한 IAM 정책이 포함된 로컬 JSON 또는 YAML 파일의 경로입니다.

다음 단계

IAM 자세히 알아보기