Cloud Dataflow 액세스 제어 가이드

개요

전체 Cloud Platform 프로젝트에 대한 뷰어, 편집자 또는 소유자 권한을 사용자에게 부여하는 대신 Cloud Dataflow IAM 역할을 사용하여 프로젝트 또는 조직 내에서 사용자의 액세스 권한을 Cloud Dataflow 관련 리소스로만 제한할 수 있습니다.

이 페이지에서는 Cloud Dataflow의 IAM 역할을 사용하는 방법을 주로 설명합니다. IAM 및 해당 기능에 대한 자세한 설명은 Google Cloud Identity and Access Management 개발자 가이드를 참조하세요.

모든 Cloud Dataflow 메소드는 호출자에게 필요 권한을 요구합니다. Cloud Dataflow가 지원하는 권한과 역할의 목록은 다음 섹션을 참조하세요.

권한 및 역할

이 섹션에는 Cloud Dataflow IAM이 지원하는 권한과 역할이 요약되어 있습니다.

필수 권한

다음 표에는 호출자가 각 메소드를 호출하는 데 필요한 권한이 있습니다.

역할

다음 표에는 Cloud Dataflow IAM 역할과 각 역할에 포함된 모든 권한 목록이 나열되어 있습니다. 모든 권한은 특정 리소스 유형에 적용될 수 있습니다.

참고: Cloud Dataflow 작업자 역할(roles/dataflow.worker)은 Compute Engine 서비스 계정이 Apache Beam 파이프라인의 작업 단위를 실행하는 데 필요한 권한(dataflow.workItems.lease, dataflow.workItems.update, dataflow.workItems.sendMessage)을 제공합니다. 일반적으로는 이러한 계정에만 역할이 할당되어야 하고, Cloud Dataflow 서비스에서 작업을 요청하고 업데이트할 수 있는 기능만 포함되어야 합니다.

작업 만들기

작업을 만들려면 작업을 실행하고 조사하는 데 필요한 최소한의 권한 집합이 포함된 roles/dataflow.admin이 필요합니다.

또는 다음 권한이 필요합니다.

• 작업 자체를 인스턴스화할 수 있는 roles/dataflow.developer 역할
• 머신 유형 정보에 액세스하고 다른 설정을 볼 수 있는 roles/compute.viewer 역할
• Cloud Storage에서 파일 스테이징 권한을 제공할 수 있는 roles/storage.objectAdmin 역할

역할 할당의 예

다양한 Cloud Dataflow 역할의 유용성을 파악하려면 다음 분석을 살펴보세요.

• 작업을 만들고 검사하는 개발자에게는 roles/dataflow.admin 역할이 필요합니다.
• 권한을 좀 더 정교하게 관리하려면 Cloud Dataflow 작업과 상호작용하는 개발자에게 roles/dataflow.developer 역할이 필요합니다.
  • 필수 파일을 스테이징하려면 roles/storage.objectAdmin 또는 관련 역할이 필요합니다.
  • 디버깅 및 할당량을 확인하려면 프로젝트 roles/compute.viewer 역할이 필요합니다.
  • 다른 역할 할당이 없으면 개발자는 이 역할을 통해 Cloud Dataflow 작업을 만들고 취소할 수 있지만 개별 VM과 상호작용하거나 다른 Cloud 서비스에 액세스할 수 없습니다.
• Cloud Dataflow 서비스의 데이터를 처리하려면 컨트롤러 서비스 계정에 roles/dataflow.worker 역할이 필요합니다. 작업 데이터에 액세스하려면 다른 역할(예: roles/storage.objectAdmin)이 필요합니다.

Cloud Dataflow 역할 할당

Cloud Dataflow 역할은 현재 조직과 프로젝트에만 설정할 수 있습니다.

조직 수준에서 역할을 관리하려면 IAM을 사용하여 조직 액세스 제어를 참조하세요.

프로젝트 수준 역할을 설정하려면 Google Cloud Platform Console을 통한 액세스 제어를 참조하세요.