Compute Engine IAM 역할 및 권한

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

프로젝트에 새 구성원을 추가할 때 ID 및 액세스 관리(IAM) 정책을 사용하여 해당 구성원에게 하나 이상의 IAM 역할을 부여할 수 있습니다. 각 IAM 역할에는 구성원에게 특정 리소스에 대한 액세스 권한을 부여하는 권한이 포함됩니다.

Compute Engine에는 이 페이지에서 설명하는 사전 정의된 IAM 역할 집합이 있습니다. 요구사항에 맞는 권한 하위 집합이 포함된 커스텀 역할을 만들 수도 있습니다.

각 방식에 필요한 권한을 알아보려면 Compute Engine API 참조 문서를 확인하세요.

액세스 권한 부여에 대한 자세한 내용은 다음 페이지를 참조하세요.

시작하기 전에

  • IAM 문서를 읽어봅니다.

IAM이란?

Google Cloud는 사용자가 특정 Google Cloud 리소스에 대한 세부적인 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있는 IAM을 제공합니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

IAM을 사용하면 IAM 정책을 설정하여 누가(ID) 어떤 리소스에 무슨(역할) 권한을 갖는지를 제어할 수 있습니다. IAM 정책은 프로젝트 구성원에게 특정 역할을 부여하고 ID 관련 권한을 제공합니다. 예를 들어 프로젝트와 같은 특정 리소스에 대한 roles/compute.networkAdmin 역할을 Google 계정에 할당하면 해당 계정이 프로젝트에 있는 네트워크 관련 리소스는 제어할 수 있어도 인스턴스 및 디스크와 같은 다른 리소스는 관리할 수 없습니다. IAM을 사용하여 프로젝트 팀 구성원에게 부여된 Google Cloud 콘솔의 기존 역할을 관리할 수도 있습니다.

serviceAccountUser 역할

roles/compute.instanceAdmin.v1roles/iam.serviceAccountUser 역할을 함께 부여받은 구성원은 서비스 계정을 사용하는 인스턴스를 만들고 관리할 수 있습니다. 구체적으로 roles/iam.serviceAccountUserroles/compute.instanceAdmin.v1 역할을 함께 부여받은 구성원에게는 다음 작업을 수행할 수 있는 권한이 제공됩니다.

  • 서비스 계정으로 실행되는 인스턴스를 만들 수 있습니다.
  • 서비스 계정으로 실행되는 인스턴스에 영구 디스크를 연결할 수 있습니다.
  • 서비스 계정으로 실행되는 인스턴스에서 인스턴스 메타데이터를 설정할 수 있습니다.
  • SSH를 사용하여 서비스 계정으로 실행되는 인스턴스에 연결할 수 있습니다.
  • 인스턴스가 서비스 계정으로 실행되도록 다시 구성할 수 있습니다.

다음 2가지 방법 중 하나로 roles/iam.serviceAccountUser를 부여할 수 있습니다.

  • 권장사항. 특정 서비스 계정의 구성원에게 역할을 부여합니다. 이렇게 하면 이 구성원은 iam.serviceAccountUser 역할을 부여받은 서비스 계정에는 액세스할 수 있지만, iam.serviceAccountUser 역할을 부여받지 않은 다른 서비스 계정에는 액세스할 수 없습니다.

  • 프로젝트 수준에서 구성원에게 역할을 부여합니다. 구성원은 이후에 생성되는 서비스 계정을 포함하여 해당 프로젝트의 모든 서비스 계정에 액세스할 수 있습니다.

서비스 계정에 대해 잘 모른다면 서비스 계정에 대해 자세히 알아보세요.

Google Cloud 콘솔 권한

Google Cloud 콘솔을 사용하여 Compute Engine 리소스에 액세스하려면 프로젝트에 대해 다음 권한을 갖는 역할이 할당되어 있어야 합니다.

compute.projects.get

인스턴스에 instanceAdmin으로 연결

roles/compute.instanceAdmin.v1 역할을 부여받은 프로젝트 구성원은 gcloud CLI 또는 SSH-in-browser와 같은 표준 Google Cloud 도구를 사용하여 가상 머신(VM) 인스턴스에 연결할 수 있습니다.

구성원이 gcloud CLI 또는 브라우저에서 SSH를 통해 연결 기능을 사용하면 도구에서 공개 키/비공개 키 쌍을 자동으로 생성하여 공개 키를 프로젝트 메타데이터에 추가합니다. 구성원에게 프로젝트 메타데이터를 수정할 권한이 없으면 구성원의 공개 키가 인스턴스 메타데이터에 자동으로 추가됩니다.

구성원에게 사용하려는 키 쌍이 이미 있는 경우에는 공개 키를 인스턴스의 메타데이터에 직접 추가할 수 있습니다. 인스턴스에 SSH 키를 추가하는 방법에 대해 자세히 알아보세요.

서비스 계정과 IAM

새로운 커스텀 서비스 계정을 만들고 서비스 계정에 IAM 역할을 부여하여 인스턴스의 액세스 권한을 제한할 수 있습니다. 커스텀 서비스 계정과 함께 IAM 역할을 사용하면 다음을 수행할 수 있습니다.

  • 세분화된 IAM 역할을 사용하여 Google Cloud APIs에 대한 인스턴스의 액세스 권한을 제한할 수 있습니다.
  • 각 인스턴스 또는 인스턴스 집합에 고유한 ID를 제공할 수 있습니다.
  • 기본 서비스 계정의 액세스 권한을 제한할 수 있습니다.

서비스 계정에 대해 자세히 알아보세요.

관리형 인스턴스 그룹 및 IAM

관리형 인스턴스 그룹(MIG)은 직접 사용자 상호작용 없이 사용자 대신 작업을 수행하는 리소스입니다. 예를 들어 MIG는 그룹에서 VM을 추가 및 삭제할 수 있습니다.

MIG의 일부로 Compute Engine에서 수행되는 모든 작업은 프로젝트의 Google API 서비스 에이전트에서 수행됩니다. 이 프로젝트에는 PROJECT_ID@cloudservices.gserviceaccount.com과 같은 이메일 주소가 있습니다.

기본적으로 Google API 서비스 에이전트에는 프로젝트 수준에서 편집자 역할(roles/editor)이 부여되어 MIG의 구성에 따라 리소스를 만들 수 있는 충분한 권한이 부여됩니다. Google API 서비스 에이전트에 대한 액세스를 맞춤설정하는 경우 Compute 인스턴스 관리자(v1) 역할(roles/compute.instanceAdmin.v1), 그리고 필요한 경우 서비스 계정 사용자 역할(roles/iam.serviceAccountUser)을 부여하고, MIG가 서비스 계정으로 실행될 수 있는 VM을 만드는 경우에만 서비스 계정 사용자 역할이 필요합니다.

Google API 서비스 에이전트는 Deployment Manager를 비롯한 다른 프로세스에서도 사용됩니다.

MIG를 만들거나 해당 인스턴스 템플릿을 업데이트할 때 Compute Engine은 Google API 서비스 에이전트에 다음 역할 및 권한이 있는지 확인합니다.

  • 서비스 계정으로 실행될 수 있는 인스턴스를 만들려는 경우 중요한 서비스 계정 사용자 역할
  • 이미지, 디스크, VPC 네트워크, 서브넷 등 인스턴스 템플릿에서 참조되는 모든 리소스에 대한 권한이 있는지 여부

사전 정의된 Compute Engine IAM 역할

IAM을 사용할 때 Compute Engine API의 모든 API 메서드를 사용하려면 API 요청을 실행하는 ID에 해당 리소스를 사용하는 데 필요한 적절한 권한이 있어야 합니다. 권한을 부여하기 위해서는 프로젝트의 구성원(사용자, 그룹 또는 서비스 계정)에게 역할을 부여하는 정책을 설정하면 됩니다.

기본 역할(소유자, 편집자, 뷰어)과 커스텀 역할 외에도 다음과 같은 사전 정의된 Compute Engine 역할을 프로젝트 구성원에게 할당할 수 있습니다.

한 프로젝트 구성원에게 동일한 리소스에 대한 여러 역할을 부여할 수 있습니다. 예를 들어 네트워킹팀에서 방화벽 규칙도 관리하는 경우 네트워킹팀의 Google 그룹roles/compute.networkAdminroles/compute.securityAdmin 역할을 모두 부여할 수 있습니다.

다음 표는 사전 정의된 Compute Engine IAM 역할과 각 역할에 포함된 권한을 설명합니다. 각 역할에는 특정 작업에 적합한 권한 집합이 포함되어 있습니다. 예를 들어 인스턴스 관리자 역할은 인스턴스 관리를 위한 권한을 부여하고, 네트워크 관련 역할에는 네트워크 관련 리소스 관리를 위한 권한이 포함되며, 보안 역할에는 방화벽 및 SSL 인증서와 같은 보안 관련 리소스 관리를 위한 권한이 포함되어 있습니다.

Compute 관리자 역할

직책 및 이름 설명 권한
Compute 관리자
(roles/compute.admin)

모든 Compute Engine 리소스를 관리할 수 있는 전체 권한을 제공합니다.

사용자가 서비스 계정으로 실행되도록 구성된 가상 머신 인스턴스를 관리하는 경우 roles/iam.serviceAccountUser 역할도 부여해야 합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 디스크
  • 이미지
  • 인스턴스
  • 인스턴스 템플릿
  • 노드 그룹
  • 노드 템플릿
  • 스냅샷베타
  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 이미지 사용자 역할

직책 및 이름 설명 권한
Compute 이미지 사용자
(roles/compute.imageUser)

이미지에 대한 다른 권한 없이 이미지를 나열하고 읽을 수 있는 권한입니다. 프로젝트 수준에서 이 역할을 부여하면 사용자는 프로젝트의 모든 이미지를 나열하고 프로젝트의 이미지를 기반으로 인스턴스 및 영구 디스크와 같은 리소스를 만들 수 있습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 이미지베타
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 인스턴스 관리자(베타) 역할

직책 및 이름 설명 권한
Compute 인스턴스 관리자(베타)
(roles/compute.instanceAdmin)

가상 머신 인스턴스를 생성, 수정, 삭제할 수 있는 권한을 제공하며, 여기에는 디스크를 생성, 수정, 삭제할 뿐 아니라 보안 VM 설정을 구성할 수 있는 권한도 포함됩니다.

사용자가 서비스 계정으로 실행되도록 구성된 가상 머신 인스턴스를 관리하는 경우 roles/iam.serviceAccountUser 역할도 부여해야 합니다.

예를 들어 회사 내에서 가상 머신 인스턴스 그룹을 관리하지만 네트워크 또는 보안 설정과 서비스 계정으로 실행되는 인스턴스를 관리하지 않는 경우, 이 역할을 인스턴스가 포함된 조직, 폴더 또는 프로젝트에 부여하거나 개별 인스턴스에 부여할 수도 있습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 디스크
  • 이미지
  • 인스턴스
  • 인스턴스 템플릿
  • 스냅샷베타
  • compute.acceleratorTypes.*
  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.addresses.useInternal
  • compute.autoscalers.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionNetworkEndpointGroups.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 인스턴스 관리자(v1) 역할

직책 및 이름 설명 권한
Compute 인스턴스 관리자(v1)
(roles/compute.instanceAdmin.v1)

Compute Engine 인스턴스, 인스턴스 그룹, 디스크, 스냅샷, 이미지에 대한 전체 제어 권한입니다. 모든 Compute Engine 네트워킹 리소스에 대해서는 읽기 액세스 권한만 부여됩니다.

이 역할을 인스턴스 수준에서만 사용자에게 부여하면 사용자는 새 인스턴스를 만들 수 없습니다.

  • compute.acceleratorTypes.*
  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.addresses.useInternal
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 부하 분산기 관리자 역할

직책 및 이름 설명 권한
Compute 부하 분산기 관리자
(roles/compute.loadBalancerAdmin) 베타

부하 분산기와 관련 리소스를 생성, 수정, 삭제할 수 있는 권한입니다.

예를 들어 회사에 부하 분산기, 부하 분산기용 SSL 인증서, SSL 정책, 기타 부하 분산 리소스를 관리하는 부하 분산팀과 나머지 네트워킹 리소스를 관리하는 별도의 네트워킹팀이 있는 경우 이 역할을 부하 분산팀의 그룹에 부여합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.use
  • compute.addresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listTagBindings
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.projects.get
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.*
  • compute.regionSecurityPolicies.get
  • compute.regionSecurityPolicies.list
  • compute.regionSecurityPolicies.use
  • compute.regionSslCertificates.*
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 부하 분산기 서비스 사용자 역할

직책 및 이름 설명 권한
Compute 부하 분산기 서비스 사용자
(roles/compute.loadBalancerServiceUser) 베타
다른 프로젝트의 부하 분산기에서 서비스를 사용할 수 있는 권한입니다.
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.backendServices.use
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionBackendServices.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 네트워크 관리자 역할

직책 및 이름 설명 권한
Compute 네트워크 관리자
(roles/compute.networkAdmin)

방화벽 규칙과 SSL 인증서를 제외한 네트워킹 리소스를 생성, 수정, 삭제할 수 있는 권한입니다. 네트워크 관리자 역할은 방화벽 규칙, SSL 인증서, 인스턴스에 대한 읽기 전용 액세스(임시 IP 주소 보기) 권한은 허용하지만 인스턴스를 생성, 시작, 중지, 삭제할 수 있는 권한은 허용하지 않습니다.

예를 들어 회사에 방화벽 및 SSL 인증서를 관리하는 보안 팀과 나머지 네트워킹 리소스를 관리하는 네트워킹 팀이 있다면 이 역할을 네트워킹 팀의 그룹에 부여합니다. 또는 보안과 네트워킹을 모두 관리하는 결합된 팀이 있는 경우 이 역할과 roles/compute.securityAdmin 역할을 결합된 팀의 그룹에 부여합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.*
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalNetworkEndpointGroups.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.update
  • compute.instanceGroupManagers.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.update
  • compute.instanceGroups.use
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.instances.updateSecurity
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.list
  • compute.networkEndpointGroups.use
  • compute.networks.*
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.list
  • compute.regionFirewallPolicies.use
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNetworkEndpointGroups.use
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSecurityPolicies.get
  • compute.regionSecurityPolicies.list
  • compute.regionSecurityPolicies.use
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.regions.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.serviceAttachments.*
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.*
  • networksecurity.*
  • networkservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicedirectory.namespaces.create
  • servicedirectory.namespaces.delete
  • servicedirectory.services.create
  • servicedirectory.services.delete
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.createPeeredDnsDomain
  • servicenetworking.services.deletePeeredDnsDomain
  • servicenetworking.services.get
  • servicenetworking.services.listPeeredDnsDomains
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*

Compute 네트워크 사용자 역할

직책 및 이름 설명 권한
Compute 네트워크 사용자
(roles/compute.networkUser)

공유 VPC 네트워크에 대한 액세스 권한을 제공합니다.

이 권한이 부여되면 서비스 소유자는 호스트 프로젝트에 속한 VPC 네트워크와 서브넷을 사용할 수 있습니다. 예를 들어 네트워크 사용자는 호스트 프로젝트 네트워크에 속하는 VM 인스턴스를 만들 수 있지만 호스트 프로젝트에서 새로운 네트워크를 삭제하거나 만들 수 없습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.useInternal
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.externalVpnGateways.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.access
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnGateways.use
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.authorizationPolicies.use
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointConfigSelectors.use
  • networkservices.endpointPolicies.get
  • networkservices.endpointPolicies.list
  • networkservices.endpointPolicies.use
  • networkservices.gateways.get
  • networkservices.gateways.list
  • networkservices.gateways.use
  • networkservices.grpcRoutes.get
  • networkservices.grpcRoutes.list
  • networkservices.grpcRoutes.use
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpFilters.use
  • networkservices.httpRoutes.get
  • networkservices.httpRoutes.list
  • networkservices.httpRoutes.use
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.httpfilters.use
  • networkservices.locations.*
  • networkservices.meshes.get
  • networkservices.meshes.list
  • networkservices.meshes.use
  • networkservices.operations.get
  • networkservices.operations.list
  • networkservices.serviceBindings.get
  • networkservices.serviceBindings.list
  • networkservices.tcpRoutes.get
  • networkservices.tcpRoutes.list
  • networkservices.tcpRoutes.use
  • networkservices.tlsRoutes.get
  • networkservices.tlsRoutes.list
  • networkservices.tlsRoutes.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 네트워크 뷰어 역할

직책 및 이름 설명 권한
Compute 네트워크 뷰어
(roles/compute.networkViewer)

모든 네트워킹 리소스에 대한 읽기 전용 액세스 권한입니다.

예를 들어 네트워크 구성을 검사하는 소프트웨어가 있는 경우 이 역할을 해당 소프트웨어의 서비스 계정에 부여할 수 있습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointPolicies.get
  • networkservices.endpointPolicies.list
  • networkservices.gateways.get
  • networkservices.gateways.list
  • networkservices.grpcRoutes.get
  • networkservices.grpcRoutes.list
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpRoutes.get
  • networkservices.httpRoutes.list
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.locations.*
  • networkservices.meshes.get
  • networkservices.meshes.list
  • networkservices.operations.get
  • networkservices.operations.list
  • networkservices.serviceBindings.get
  • networkservices.serviceBindings.list
  • networkservices.tcpRoutes.get
  • networkservices.tcpRoutes.list
  • networkservices.tlsRoutes.get
  • networkservices.tlsRoutes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*

Compute 조직 방화벽 정책 관리자 역할

직책 및 이름 설명 권한
Compute 조직 방화벽 정책 관리자
(roles/compute.orgFirewallPolicyAdmin)
Compute Engine 조직 방화벽 정책을 관리할 수 있는 전체 권한입니다.
  • compute.firewallPolicies.cloneRules
  • compute.firewallPolicies.create
  • compute.firewallPolicies.delete
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewallPolicies.move
  • compute.firewallPolicies.setIamPolicy
  • compute.firewallPolicies.update
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.regionFirewallPolicies.*
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionOperations.setIamPolicy
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 조직 방화벽 정책 사용자 역할

직책 및 이름 설명 권한
Compute 조직 방화벽 정책 사용자
(roles/compute.orgFirewallPolicyUser)
Compute Engine 방화벽 정책을 보거나 사용하여 조직 또는 폴더와 연결합니다.
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.projects.get
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.list
  • compute.regionFirewallPolicies.use
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 조직 보안 정책 관리자 역할

직책 및 이름 설명 권한
Compute 조직 보안 정책 관리자
(roles/compute.orgSecurityPolicyAdmin)
Compute Engine 조직 보안 정책을 관리할 수 있는 전체 권한입니다.
  • compute.firewallPolicies.*
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.copyRules
  • compute.securityPolicies.create
  • compute.securityPolicies.delete
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.securityPolicies.move
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.setIamPolicy
  • compute.securityPolicies.update
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 조직 보안 정책 사용자 역할

직책 및 이름 설명 권한
Compute 조직 보안 정책 사용자
(roles/compute.orgSecurityPolicyUser)
Compute Engine 보안 정책을 확인하거나 사용하여 조직 또는 폴더와 연결합니다.
  • compute.firewallPolicies.addAssociation
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.removeAssociation
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 조직 리소스 관리자 역할

직책 및 이름 설명 권한
Compute 조직 리소스 관리자
(roles/compute.orgSecurityResourceAdmin)
Compute Engine 방화벽 정책의 조직 또는 폴더 연결을 관리할 수 있는 전체 권한입니다.
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.organizations.listAssociations
  • compute.organizations.setFirewallPolicy
  • compute.organizations.setSecurityPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute OS 관리자 로그인 역할

직책 및 이름 설명 권한
Compute OS 관리자 로그인
(roles/compute.osAdminLogin)

Compute Engine 인스턴스에 관리자 사용자로 로그인할 수 있는 액세스 권한입니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instances.get
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listTagBindings
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute OS 로그인 역할

직책 및 이름 설명 권한
Compute OS 로그인
(roles/compute.osLogin)

Compute Engine 인스턴스에 표준 사용자로 로그인할 수 있는 액세스 권한입니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instances.get
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listTagBindings
  • compute.instances.osLogin
  • compute.projects.get
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute OS 로그인 외부 사용자 역할

직책 및 이름 설명 권한
Compute OS 로그인 외부 사용자
(roles/compute.osLoginExternalUser)

조직 수준에서만 사용할 수 있습니다.

이 조직에 연결된 OS 로그인 정보를 설정할 수 있는 외부 사용자용 액세스 권한을 제공합니다. 이 역할은 인스턴스에 액세스할 수 있는 권한을 부여하지 않습니다. 외부 사용자가 SSH를 사용하여 인스턴스에 액세스하려면 필요한 OS 로그인 역할 중 하나를 부여받아야 합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 조직
  • compute.oslogin.updateExternalUser

Compute 패킷 미러링 관리자 역할

직책 및 이름 설명 권한
Compute 패킷 미러링 관리자
(roles/compute.packetMirroringAdmin)
미러링할 리소스를 지정합니다.
  • compute.instances.updateSecurity
  • compute.networks.mirror
  • compute.projects.get
  • compute.subnetworks.mirror
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 패킷 미러링 사용자 역할

직책 및 이름 설명 권한
Compute 패킷 미러링 사용자
(roles/compute.packetMirroringUser)
Compute Engine 패킷 미러링을 사용합니다.
  • compute.packetMirrorings.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 공개 IP 관리자 역할

직책 및 이름 설명 권한
Compute 공개 IP 관리자
(roles/compute.publicIpAdmin)
Compute Engine의 공개 IP 주소를 관리할 수 있는 전체 권한입니다.
  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.globalPublicDelegatedPrefixes.*
  • compute.publicAdvertisedPrefixes.*
  • compute.publicDelegatedPrefixes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Compute 보안 관리자 역할

직책 및 이름 설명 권한
Compute 보안 관리자
(roles/compute.securityAdmin)

방화벽 규칙과 SSL 인증서를 생성, 수정, 삭제하고 보안 VM베타 설정을 구성할 수 있는 권한입니다.

예를 들어 회사에 방화벽 및 SSL 인증서를 관리하는 보안팀과 나머지 네트워킹 리소스를 관리하는 네트워킹팀이 있는 경우 이 역할을 보안팀의 그룹에 부여합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 인스턴스베타
  • compute.backendBuckets.list
  • compute.backendServices.list
  • compute.firewallPolicies.*
  • compute.firewalls.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.instances.getEffectiveFirewalls
  • compute.instances.list
  • compute.instances.setShieldedInstanceIntegrityPolicy
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.packetMirrorings.*
  • compute.projects.get
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSecurityPolicies.*
  • compute.regionSslCertificates.*
  • compute.regions.*
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.*
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetInstances.list
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 단독 테넌트 뷰어 역할

직책 및 이름 설명 권한
Compute 단독 테넌트 뷰어
(roles/compute.soleTenantViewer) 베타
단독 테넌시 노드 그룹을 볼 수 있는 권한입니다.
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*

Compute 스토리지 관리자 역할

직책 및 이름 설명 권한
Compute 스토리지 관리자
(roles/compute.storageAdmin)

디스크, 이미지, 스냅샷을 생성, 수정, 삭제할 수 있는 권한입니다.

예를 들어 회사에 프로젝트 이미지를 관리하는 사람이 있고 프로젝트에 대한 편집자 역할을 부여하고 싶지 않은 경우 이 역할을 프로젝트의 해당 계정에 부여합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 디스크
  • 이미지
  • 스냅샷베타
  • compute.diskTypes.*
  • compute.disks.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.resourcePolicies.*
  • compute.snapshots.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 뷰어 역할

직책 및 이름 설명 권한
Compute 뷰어
(roles/compute.viewer)

Compute Engine 리소스를 가져와 나열할 수 있지만 리소스에 저장된 데이터를 읽을 수 없는 읽기 전용 액세스 권한을 제공합니다.

예를 들어 이 역할을 부여받은 계정은 프로젝트 내 모든 디스크를 목록화할 수 있지만 디스크에 있는 어떠한 데이터도 읽을 수 없습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 디스크
  • 이미지
  • 인스턴스
  • 인스턴스 템플릿
  • 노드 그룹
  • 노드 템플릿
  • 스냅샷베타
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEdgeSecurityServices.get
  • compute.networkEdgeSecurityServices.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSecurityPolicies.get
  • compute.regionSecurityPolicies.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Compute 공유 VPC 관리자 역할

직책 및 이름 설명 권한
Compute 공유 VPC 관리자
(roles/compute.xpnAdmin)

공유 VPC 호스트 프로젝트를 관리할 수 있는 권한입니다. 특히 호스트 프로젝트를 사용 설정하고 호스트 프로젝트의 네트워크에 공유 VPC 서비스 프로젝트를 연결할 수 있습니다.

이 역할은 조직 수준에서 조직 관리자만 부여할 수 있습니다.

Google Cloud에서는 공유 VPC 관리자를 공유 VPC 호스트 프로젝트의 소유자로 지정하는 것을 권장합니다. 공유 VPC 관리자는 서비스 소유자에게 Compute 네트워크 사용자 역할(roles/compute.networkUser)을 부여할 책임이 있으며, 공유 VPC 호스트 프로젝트 소유자는 프로젝트 자체를 제어합니다. 단일 주 구성원(개인 또는 그룹)이 두 가지 역할을 모두 수행할 수 있으면 프로젝트를 더 쉽게 관리할 수 있습니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 폴더
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.disableXpnHost
  • compute.organizations.disableXpnResource
  • compute.organizations.enableXpnHost
  • compute.organizations.enableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.setIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

GuestPolicy 관리자 역할

직책 및 이름 설명 권한
GuestPolicy 관리자
(roles/osconfig.guestPolicyAdmin) 베타
GuestPolicy에 대한 전체 관리자 액세스 권한입니다.
  • osconfig.guestPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

GuestPolicy 편집자 역할

직책 및 이름 설명 권한
GuestPolicy 편집자
(roles/osconfig.guestPolicyEditor) 베타
GuestPolicy 리소스의 편집자입니다.
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • osconfig.guestPolicies.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

GuestPolicy 뷰어 역할

직책 및 이름 설명 권한
GuestPolicy 뷰어
(roles/osconfig.guestPolicyViewer) 베타
GuestPolicy 리소스의 뷰어입니다.
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

InstanceOSPoliciesCompliance 뷰어 역할

직책 및 이름 설명 권한
InstanceOSPoliciesCompliance 뷰어
(roles/osconfig.instanceOSPoliciesComplianceViewer) 베타
VM 인스턴스의 OS 정책 규정 준수 뷰어입니다.
  • osconfig.instanceOSPoliciesCompliances.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OS 인벤토리 뷰어 역할

직책 및 이름 설명 권한
OS 인벤토리 뷰어
(roles/osconfig.inventoryViewer)
OS 인벤토리의 뷰어입니다.
  • osconfig.inventories.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OSPolicyAssignment 관리자 역할

직책 및 이름 설명 권한
OSPolicyAssignment 관리자
(roles/osconfig.osPolicyAssignmentAdmin)
OS 정책 할당에 대한 전체 관리 액세스 권한입니다.
  • osconfig.osPolicyAssignments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OSPolicyAssignment 편집자 역할

직책 및 이름 설명 권한
OSPolicyAssignment 편집자
(roles/osconfig.osPolicyAssignmentEditor)
OS 정책 할당의 편집자입니다.
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • osconfig.osPolicyAssignments.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OSPolicyAssignmentReport 뷰어 역할

직책 및 이름 설명 권한
OSPolicyAssignmentReport 뷰어
(roles/osconfig.osPolicyAssignmentReportViewer)
VM 인스턴스에 대한 OS 정책 할당 보고서의 뷰어입니다.
  • osconfig.osPolicyAssignmentReports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OSPolicyAssignment 뷰어 역할

직책 및 이름 설명 권한
OSPolicyAssignment 뷰어
(roles/osconfig.osPolicyAssignmentViewer)
OS 정책 할당의 뷰어입니다.
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

PatchDeployment 관리자 역할

직책 및 이름 설명 권한
PatchDeployment 관리자
(roles/osconfig.patchDeploymentAdmin)
패치 배포에 대한 전체 관리자 액세스 권한입니다.
  • osconfig.patchDeployments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

PatchDeployment 뷰어 역할

직책 및 이름 설명 권한
PatchDeployment 뷰어
(roles/osconfig.patchDeploymentViewer)
패치 배포 리소스의 뷰어입니다.
  • osconfig.patchDeployments.get
  • osconfig.patchDeployments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

패치 작업 실행자 역할

직책 및 이름 설명 권한
패치 작업 실행자
(roles/osconfig.patchJobExecutor)
패치 작업을 실행하는 액세스 권한입니다.
  • osconfig.patchJobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

패치 작업 뷰어 역할

직책 및 이름 설명 권한
패치 작업 뷰어
(roles/osconfig.patchJobViewer)
패치 작업을 가져오고 나열합니다.
  • osconfig.patchJobs.get
  • osconfig.patchJobs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

OS VulnerabilityReport 뷰어 역할

직책 및 이름 설명 권한
OS VulnerabilityReport 뷰어
(roles/osconfig.vulnerabilityReportViewer)
OS VulnerabilityReports의 뷰어입니다.
  • osconfig.vulnerabilityReports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

DNS 관리자 역할

직책 및 이름 설명 권한
DNS 관리자
(roles/dns.admin)

모든 Cloud DNS에 대한 읽기 및 쓰기 액세스 권한을 제공합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • compute.networks.get
  • compute.networks.list
  • dns.changes.*
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.create
  • dns.managedZones.delete
  • dns.managedZones.get
  • dns.managedZones.getIamPolicy
  • dns.managedZones.list
  • dns.managedZones.update
  • dns.networks.*
  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.getIamPolicy
  • dns.policies.list
  • dns.policies.update
  • dns.projects.get
  • dns.resourceRecordSets.*
  • dns.responsePolicies.*
  • dns.responsePolicyRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

DNS 피어 역할

직책 및 이름 설명 권한
DNS 피어
(roles/dns.peer)
DNS 피어링 영역이 있는 대상 네트워크에 대한 액세스 권한입니다.
  • dns.networks.targetWithPeeringZone

DNS 리더 역할

직책 및 이름 설명 권한
DNS 리더
(roles/dns.reader)

모든 Cloud DNS 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.

이 역할을 부여할 수 있는 최하위 수준 리소스:

  • 프로젝트
  • compute.networks.get
  • dns.changes.get
  • dns.changes.list
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.policies.get
  • dns.policies.list
  • dns.projects.get
  • dns.resourceRecordSets.get
  • dns.resourceRecordSets.list
  • dns.responsePolicies.get
  • dns.responsePolicies.list
  • dns.responsePolicyRules.get
  • dns.responsePolicyRules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Service Account Admin role

Title and name Description Permissions
Service Account Admin
(roles/iam.serviceAccountAdmin)
Create and manage service accounts.

Lowest-level resources where you can grant this role:

  • Service Account
  • iam.serviceAccounts.create
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.disable
  • iam.serviceAccounts.enable
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.list
  • iam.serviceAccounts.setIamPolicy
  • iam.serviceAccounts.undelete
  • iam.serviceAccounts.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Create Service Accounts role

Title and name Description Permissions
Create Service Accounts
(roles/iam.serviceAccountCreator)
Access to create service accounts.
  • iam.serviceAccounts.create
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Delete Service Accounts role

Title and name Description Permissions
Delete Service Accounts
(roles/iam.serviceAccountDeleter)
Access to delete service accounts.
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Service Account Key Admin role

Title and name Description Permissions
Service Account Key Admin
(roles/iam.serviceAccountKeyAdmin)
Create and manage (and rotate) service account keys.

Lowest-level resources where you can grant this role:

  • Service Account
  • iam.serviceAccountKeys.*
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Service Account OpenID Connect Identity Token Creator role

Title and name Description Permissions
Service Account OpenID Connect Identity Token Creator
(roles/iam.serviceAccountOpenIdTokenCreator)
Create OpenID Connect (OIDC) identity tokens
  • iam.serviceAccounts.getOpenIdToken

Service Account Token Creator role

Title and name Description Permissions
Service Account Token Creator
(roles/iam.serviceAccountTokenCreator)
Impersonate service accounts (create OAuth2 access tokens, sign blobs or JWTs, etc).

Lowest-level resources where you can grant this role:

  • Service Account
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.list
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Service Account User role

Title and name Description Permissions
Service Account User
(roles/iam.serviceAccountUser)
Run operations as the service account.

Lowest-level resources where you can grant this role:

  • Service Account
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

View Service Accounts role

Title and name Description Permissions
View Service Accounts
(roles/iam.serviceAccountViewer)
Read access to service accounts, metadata, and keys.
  • iam.serviceAccountKeys.get
  • iam.serviceAccountKeys.list
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Workload Identity User role

Title and name Description Permissions
Workload Identity User
(roles/iam.workloadIdentityUser)
Impersonate service accounts from GKE Workloads
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.list

다음 단계