Dataproc Metastore: IAM으로 액세스 제어

기본적으로 모든 Google Cloud 프로젝트에는 원래 프로젝트 생성자인 단일 사용자가 존재합니다. 그 외 다른 사용자에게는 프로젝트에 대한 액세스 권한이 없으므로 사용자를 프로젝트 구성원으로 추가할 때까지는 Dataproc Metastore 리소스에 대한 액세스가 특정 리소스로 제한됩니다.

이 페이지에서는 프로젝트에 새 사용자를 추가하는 다양한 방법과 Dataproc Metastore 리소스에 대한 액세스 제어를 설정하는 방법을 설명합니다.

IAM이란?

Google Cloud에서는 Identity and Access Management(IAM)를 제공하므로 구체적인 Google Cloud 리소스에 더욱 세분화된 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

또한 IAM을 사용하면 IAM 정책을 설정하여 누구(ID)에게 어떤 리소스에 대한 무슨(역할) 권한을 부여할지 제어할 수 있습니다. IAM 정책은 프로젝트 구성원에게 구체적인 역할을 부여하여 해당 ID에 특정 권한을 줍니다. 예를 들어 프로젝트와 같은 특정 리소스에 대해 roles/metastore.admin 역할을 Google 계정에 할당하면 해당 계정이 프로젝트에 있는 Dataproc Metastore 리소스는 제어할 수 있어도 다른 리소스는 관리할 수 없습니다. 또한 IAM을 사용하여 프로젝트 팀 구성원에게 부여된 기본 역할을 관리할 수 있습니다.

사용자 액세스 제어 옵션

Dataproc Metastore 리소스를 만들고 관리할 수 있는 권한을 사용자에게 부여하려면 사용자를 프로젝트 또는 특정 리소스에 팀 구성원으로 추가하고 IAM 역할을 사용하여 권한을 부여합니다.

팀 구성원은 유효한 Google 계정이 있는 개별 사용자, Google 그룹, 서비스 계정 또는 Google Workspace 도메인일 수 있습니다. 팀 구성원을 프로젝트나 리소스에 추가할 때 구성원에게 부여할 역할을 지정합니다. IAM은 세 가지 유형의 역할, 즉 사전 정의된 역할, 기본 역할, 커스텀 역할을 제공합니다.

특정 역할에 따라 권한이 부여되는 각 Dataproc Metastore 역할 및 API 메서드의 기능 목록을 보려면 Dataproc Metastore IAM 역할을 참조하세요.

서비스 계정 및 그룹과 같은 다른 구성원 유형의 경우 정책 binding 참조를 확인하세요.

서비스 계정

서비스가 있는 프로젝트에서 작업을 수행하기 위해 Dataproc Metastore API를 호출하면 Dataproc Metastore가 작업 수행에 필요한 권한이 있는 서비스 에이전트 서비스 계정을 사용하여 작업을 자동으로 수행합니다.

다음 서비스 계정에는 서비스가 있는 프로젝트에서 Dataproc Metastore 작업을 수행하는 데 필요한 권한이 있습니다.

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-metastore.iam.gserviceaccount.com

참고: 기본값이 아닌 웨어하우스 디렉터리가 제공된 경우 Dataproc Metastore 서비스가 Hive 메타스토어 웨어하우스 디렉터리에 액세스할 수 있도록 이 서비스 계정에 storage.objectAdmin 역할을 부여해야 할 수 있습니다. 자세한 내용은 Hive Metastore를 참조하세요.

리소스의 IAM 정책

Dataproc Metastore 서비스와 같이 IAM 정책을 해당 리소스에 직접 연결하여 Dataproc Metastore 리소스에 대해 액세스 권한을 부여할 수 있습니다. IAM 정책을 사용하면 프로젝트 수준에서 역할을 관리하는 대신 이러한 리소스에 대한 IAM 역할을 관리할 수 있습니다. 이렇게 하면 공동작업자에게 작업에 필요한 특정 리소스에 대해서만 액세스 권한을 부여하는 최소 권한의 원칙을 유연하게 적용할 수 있습니다.

리소스는 상위 리소스의 정책도 상속합니다. 프로젝트 수준에서 정책을 설정하면 모든 하위 리소스로 정책이 상속됩니다. 리소스에 실제로 적용되는 정책은 해당 리소스에 설정된 정책과 계층 구조의 상위 리소스에서 상속된 정책의 합집합입니다. 자세한 내용은 IAM 정책 계층 구조를 참조하세요.

Google Cloud Console, IAM API 또는 Google Cloud CLI를 사용하여 IAM 정책을 가져오고 설정할 수 있습니다.

Google Cloud Console의 경우 Google Cloud Console을 통한 액세스 제어를 참조하세요.
API는 API를 통한 액세스 제어를 참조하세요.
Google Cloud CLI의 경우 Google Cloud CLI를 통한 액세스 제어를 참조하세요.

다음 단계

gRPC 사용 시 메타데이터에 대한 세분화된 액세스 권한을 부여하는 방법 알아보기
IAM 역할 자세히 알아보기
IAM 권한 자세히 알아보기
프로젝트 수준에서 정책 설정 방법 자세히 알아보기