태그로 액세스 제어

이 페이지에서는 Cloud Data Fusion에서 태그를 사용하여 리소스를 관리하는 방법을 설명합니다.

태그 정보

태그는 Google Cloud 내 리소스에 연결할 수 있는 키-값 쌍입니다. 태그를 사용하면 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부할 수 있습니다. 예를 들어 리소스에 특정 태그가 있는지 여부에 따라 Identity and Access Management(IAM) 역할을 조건부로 부여할 수 있습니다. 태그에 대한 자세한 내용은 태그 개요를 참조하세요.

값을 Google Cloud 리소스에 연결하는 태그 바인딩 리소스를 만들어 태그를 리소스에 연결합니다.

시작하기 전에

다음 사용 사례에 대한 권한을 얻으려면 관리자에게 리소스 계층 구조의 적절한 수준에서 추천 역할을 부여해 달라고 요청하세요. Cloud Data Fusion의 IAM에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.

필수 역할 및 권한

Cloud Data Fusion에서 태그를 사용하여 리소스를 관리하는 데 필요한 권한을 얻으려면 관리자에게 Cloud Data Fusion 서비스 계정과 Compute Engine 기본 서비스 계정 또는 커스텀 서비스 계정에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

  • 태그 정의 및 리소스에 연결된 태그를 보는 데 필요한 권한: 태그 뷰어(roles/resourcemanager.tagViewer)
  • 태그 정의를 생성, 업데이트, 삭제하는 데 필요한 권한: 태그 관리자(roles/resourcemanager.tagAdmin)
  • 조직 수준에서 태그를 관리하는 데 필요한 권한: 조직 리소스에 대한 조직 뷰어(roles/resourcemanager.organizationViewer)
  • 리소스에 연결된 태그를 추가하고 삭제하는 데 필요한 권한: 태그 값과 태그 값을 연결하는 리소스 모두에 대한 태그 사용자(roles/resourcemanager.tagUser)
  • Cloud Data Fusion 인스턴스에 태그를 연결하는 데 필요한 권한: Cloud Data Fusion 관리자(roles/datafusion.admin)

역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 Cloud Data Fusion에서 태그를 사용하여 리소스를 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

Cloud Data Fusion에서 태그를 사용하여 리소스를 관리하려면 다음 권한이 필요합니다.

  • resourcemanager.tagKeys.get
  • resourcemanager.tagKeys.list
  • resourcemanager.tagValues.get
  • resourcemanager.tagValues.list
  • listTagBindings: 적절한 리소스 유형. 예를 들어 Cloud Data Fusion 인스턴스에 연결된 태그를 보려면 datafusion.instances.listTagBindings가 필요합니다.
  • listEffectiveTags: 적절한 리소스 유형. 예를 들어 Cloud Data Fusion 인스턴스에 연결되거나 이 인스턴스에서 상속한 모든 태그를 보려면 datafusion.instances.listEffectiveTags가 필요합니다.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

태그 키 및 값 만들기

태그를 연결하려면 먼저 태그를 만들고 값을 구성해야 합니다. 태그 키와 태그 값을 만들려면 태그 만들기태그 값 추가를 참조하세요.

리소스에 태그 연결

태그가 생성되면 리소스에 연결합니다.

gcloud

태그를 인스턴스에 연결하려면 create 명령어를 사용하여 태그 바인딩 리소스를 만들어야 합니다.

gcloud resource-manager tags bindings create \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

다음을 바꿉니다.

  • TAGVALUE_NAME: 연결된 태그 값의 영구 ID 또는 네임스페이스 이름입니다(예: tagValues/567890123456).
  • RESOURCE_ID: 리소스 유형(//datafusion.googleapis.com/)을 식별하는 API 도메인 이름을 포함하는 리소스의 전체 ID입니다. 예를 들어 us-central1에 있는 projects/7890123456의 인스턴스에 태그를 연결하려면 //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID라는 리소스 ID를 사용합니다.
  • LOCATION: 리소스 위치입니다. 예를 들면 us-central1입니다.

태그가 생성되었음을 확인하는 알림이 표시됩니다.

리소스에 연결된 태그 나열

VPC 리소스에 직접 연결되거나 리소스에서 상속한 태그 바인딩 목록을 볼 수 있습니다.

gcloud

리소스에 연결된 태그 바인딩 목록을 가져오려면 list 명령어를 사용합니다.

gcloud resource-manager tags bindings list \
  --parent=RESOURCE_ID \
  --location=LOCATION

다음을 바꿉니다.

  • RESOURCE_ID: 리소스 유형을 식별하는 API 도메인 이름을 포함한 리소스의 전체 ID(//datafusion.googleapis.com/)입니다. 예를 들어 us-central1에 위치한 projects/7890123456의 인스턴스에 있는 태그를 나열하려면 //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID라는 리소스 ID를 사용합니다.
  • LOCATION: 리소스 위치입니다. 예를 들면 us-central1입니다.

응답은 다음 형식입니다.

tagBindings/%2F%2Fcloudresourcemanager.googleapis.com%2Fprojects%2F7890123456/tagValues/567890123456
  tagValue: tagValues/567890123456
  resource: //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID

리소스에서 태그 분리

리소스에 직접 연결된 태그를 분리할 수 있습니다. 상속된 태그는 동일한 키와 다른 값으로 태그를 연결하여 재정의할 수 있지만 분리할 수는 없습니다. 태그를 삭제하려면 먼저 태그와 연결된 모든 리소스에서 키와 값을 분리해야 합니다.

gcloud

태그 바인딩을 삭제하려면 delete 명령어를 사용합니다.

gcloud resource-manager tags bindings delete \
  --tag-value=TAGVALUE_NAME \
  --parent=RESOURCE_ID \
  --location=LOCATION

다음을 바꿉니다.

  • TAGVALUE_NAME: 연결된 태그 값의 영구 ID 또는 네임스페이스 이름입니다(예: tagValues/567890123456).
  • RESOURCE_ID: 리소스 유형(//datafusion.googleapis.com/)을 식별하는 API 도메인 이름을 포함하는 리소스의 전체 ID입니다. 예를 들어 us-central1에 있는 projects/7890123456의 인스턴스에 태그를 연결하려면 //datafusion.googleapis.com/projects/7890123456/locations/us-central1/instances/instance-ID라는 리소스 ID를 사용합니다.
  • LOCATION: 리소스 위치입니다. 예를 들면 us-central1입니다.

태그가 업데이트되었음을 확인하는 알림이 표시됩니다.

태그 키 및 값 삭제

태그 키 또는 값 정의를 삭제할 때는 태그가 리소스에서 분리되었는지 확인하세요. 태그 정의 자체를 삭제하기 전에 태그 바인딩이라는 기존 태그 연결을 삭제해야 합니다. 태그 키와 태그 값을 삭제하려면 태그 삭제를 참조하세요.

Identity and Access Management 조건 및 태그

태그와 IAM 조건을 사용하여 계층 구조 내 사용자에게 역할 바인딩을 조건부로 부여할 수 있습니다. 리소스에 연결된 태그를 변경하거나 삭제하면 조건부 역할 바인딩이 포함된 IAM 정책이 적용되는 경우 해당 리소스에 대한 사용자 액세스 권한이 삭제될 수 있습니다. 자세한 내용은 Identity and Access Management 조건 및 태그를 참조하세요.

다음 단계