이 페이지에서는 Identity and Access Management(IAM) 권한을 사용하여 Cloud Healthcare API 데이터 세트 및 데이터 저장소에 대한 액세스를 제어하는 방법을 설명합니다. IAM을 사용하면 데이터 세트 및 데이터 저장소에 액세스할 수 있는 사용자를 제어할 수 있습니다. Cloud Healthcare API용 IAM에 대한 자세한 내용은 액세스 제어를 참조하세요.
IAM 정책 개요
리소스에 대한 액세스 권한은 IAM 정책을 통해 관리합니다. 정책에는 bindings
라는 배열이 포함됩니다. 이 배열에는 사용자 계정이나 서비스 계정 및 역할과 같이 주 구성원 사이를 연결하는 binding 컬렉션이 포함됩니다. 정책은 JSON 또는 YAML을 사용하여 나타냅니다.
다음 샘플 정책은 roles/healthcare.datasetAdmin
역할이 부여된 user-1@example.com
와 roles/healthcare.datasetViewer
역할이 부여된 user-2@example.com
및 service-account-13@appspot.gserviceaccount.com
을 보여줍니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
리소스의 정책을 업데이트하려면 읽기-수정-쓰기 패턴을 사용합니다. 사용자 액세스를 생성, 수정, 취소하는 별도의 방법은 없습니다.
정책을 업데이트하려면 다음 단계를 완료하세요.
- 리소스의
getIamPolicy()
메서드를 호출하여 현재 정책을 읽습니다. 예를 들어 데이터 세트의 현재 정책을 읽으려면projects.locations.datasets.getIamPolicy
를 호출합니다. - 텍스트 편집기를 사용하거나 프로그래매틱 방식으로 반환된 정책을 수정하여 관련된 주 구성원과 역할부여를 추가 또는 삭제합니다.
- 리소스의
setIamPolicy()
메서드를 호출하여 업데이트된 정책을 작성합니다. 예를 들어 데이터 세트의 업데이트된 정책을 작성하려면projects.locations.datasets.setIamPolicy
를 호출합니다.
동의 저장소에서 IAM 사용
다음 섹션에서는 동의 저장소에 대해 정책을 가져오고, 수정, 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 가져오기
다음 샘플은 동의 저장소 수준 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.locations.datasets.consentStores.getIamPolicy
를 참조하세요.
동의 저장소의 IAM 정책을 보려면 다음 안내를 따르세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- 동의 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 가져올 동의 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 펼칩니다.
동의 저장소에 대해 IAM 정책을 보려면 gcloud healthcare consent-stores get-iam-policy
명령어를 실행합니다. 동의 저장소 이름, 데이터 세트 이름, 위치를 지정합니다.
gcloud healthcare consent-stores get-iam-policyCONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag:bytes version:VERSION_NUMBER
동의 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, 동의 저장소 이름, 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 GET
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /consentStores/CONSENT_STORE_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
동의 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, 동의 저장소 이름, 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 GET
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /consentStores/CONSENT_STORE_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 수정
다음 샘플은 신규 사용자에게 roles/healthcare.consentReader
역할을 부여합니다. 자세한 내용은 projects.locations.datasets.consentStores.setIamPolicy
를 참조하세요.
정책 설정
동의 저장소 수준 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- 동의 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 설정할 동의 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 주 구성원 추가를 클릭합니다.
- 새 주 구성원 필드에 동의 저장소에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare 아래에서 부여할 권한을 선택합니다. 예를 들어 Healthcare 동의 저장소 뷰어를 선택합니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.consentReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 적절한 set-iam-policy
명령어를 실행하여 변경합니다. 동의 저장소 수준 정책을 설정하려면 gcloud healthcare consent-stores set-iam-policy
명령어를 실행합니다. 동의 저장소 이름, 데이터 세트 이름, 위치, 생성한 정책 파일의 경로를 지정합니다.
gcloud healthcare consent-stores set-iam-policyCONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \POLICY_FILE_NAME
요청이 성공하면 동의 저장소 이름과 바인딩이 표시됩니다.
Updated IAM policy for consentStore [CONSENT_STORE_ID ]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag:bytes version:VERSION_NUMBER
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.consentReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.consentStores.setIamPolicy
를 호출하여 업데이트합니다.
동의 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, 동의 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.consentReader
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /consentStores/CONSENT_STORE_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.consentReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.consentStores.setIamPolicy
를 호출하여 업데이트합니다.
동의 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, 동의 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용하여 신규 사용자에게 기존 roles/healthcare.consentReader
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /consentStores/CONSENT_STORE_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
데이터 세트에 IAM 사용
다음 섹션에서는 데이터 세트에 대해 정책을 가져오고, 수정, 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 가져오기
다음 샘플은 데이터 세트 수준의 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.locations.datasets.getIamPolicy
를 참조하세요.
데이터 세트의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름과 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 GET
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
데이터 세트의 IAM 정책을 보려면 GET
요청을 실행하고 데이터 세트 이름과 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 GET
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- 데이터 세트를 선택한 다음 정보 패널 표시를 클릭합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 펼칩니다.
데이터 세트의 IAM 정책을 보려면 gcloud healthcare datasets get-iam-policy
명령어를 실행합니다. 데이터 세트 이름과 위치를 지정합니다.
gcloud healthcare datasets get-iam-policyDATASET_ID \ --location=LOCATION
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag:bytes version:VERSION_NUMBER
정책 수정
다음 샘플은 신규 사용자에게 roles/healthcare.datasetViewer
역할을 부여합니다.
정책 설정
데이터 세트 수준의 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- 정책을 설정하려는 데이터 세트를 선택하고 정보 패널 표시를 클릭합니다.
- 주 구성원 추가를 클릭합니다.
- 새 주 구성원 필드에 데이터 세트에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare 아래에서 부여할 권한을 선택합니다. 예를 들어 Healthcare 데이터 세트 뷰어를 선택합니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.datasetViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 적절한 set-iam-policy
명령어를 실행하여 변경합니다. 데이터 세트 수준의 정책을 설정하려면 gcloud healthcare datasets set-iam-policy
명령어를 실행합니다. 데이터 세트 이름, 위치, 생성한 정책 파일의 경로를 지정합니다.
gcloud healthcare datasets set-iam-policyDATASET_ID \ --location=LOCATION \POLICY_FILE_NAME
요청이 성공하면 데이터 세트 이름과 binding이 표시됩니다.
Updated IAM policy for dataset [DATASET_ID ]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag:bytes version:VERSION_NUMBER
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.datasetViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.setIamPolicy
를 호출하여 업데이트합니다.
데이터 세트 수준의 IAM 정책을 설정하려면 POST
요청을 실행하고 데이터 세트 이름, 정책, 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.datasetViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.datasetViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.setIamPolicy
를 호출하여 업데이트합니다.
데이터 세트 수준의 IAM 정책을 설정하려면 POST
요청을 실행하고 데이터 세트 이름, 정책, 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용하여 신규 사용자에게 기존 roles/healthcare.datasetViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
DICOM 저장소에 IAM 사용
다음 섹션에서는 DICOM 저장소에 대해 정책을 가져오고, 수정, 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 가져오기
다음 샘플은 DICOM 저장소 수준 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.locations.datasets.dicomStores.getIamPolicy
를 참조하세요.
DICOM 저장소의 IAM 정책을 보려면 다음 안내를 따르세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- DICOM 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 가져올 DICOM 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 펼칩니다.
DICOM 저장소에 대해 IAM 정책을 보려면 gcloud healthcare dicom-stores get-iam-policy
명령어를 실행합니다. DICOM 저장소 이름, 데이터 세트 이름, 위치를 지정합니다.
gcloud healthcare dicom-stores get-iam-policyDICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag:bytes version:VERSION_NUMBER
DICOM 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, DICOM 저장소 이름, 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 GET
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /dicomStores/DICOM_STORE_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
DICOM 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, DICOM 저장소 이름, 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 GET
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /dicomStores/DICOM_STORE_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 수정
다음 샘플은 신규 사용자에게 roles/healthcare.dicomViewer
역할을 부여합니다. 자세한 내용은 projects.locations.datasets.dicomStores.setIamPolicy
를 참조하세요.
정책 설정
DICOM 저장소 수준 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- DICOM 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 설정할 DICOM 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 주 구성원 추가를 클릭합니다.
- 새 주 구성원 필드에 DICOM 저장소에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare 아래에서 부여할 권한을 선택합니다. 예를 들어 Healthcare DICOM 저장소 뷰어입니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.dicomViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 적절한 set-iam-policy
명령어를 실행하여 변경합니다. DICOM 저장소 수준 정책을 설정하려면 gcloud healthcare dicom-stores set-iam-policy
명령어를 실행합니다. DICOM 저장소 이름, 데이터 세트 이름, 위치, 생성한 정책 파일의 경로를 지정합니다.
gcloud healthcare dicom-stores set-iam-policyDICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \POLICY_FILE_NAME
요청이 성공하면 DICOM 저장소 이름과 binding이 표시됩니다.
Updated IAM policy for dicomStore [DICOM_STORE_ID ]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag:bytes version:VERSION_NUMBER
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.dicomViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.dicomStores.setIamPolicy
를 호출하여 업데이트합니다.
DICOM 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, DICOM 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.dicomViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /dicomStores/DICOM_STORE_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.dicomViewer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.dicomStores.setIamPolicy
를 호출하여 업데이트합니다.
DICOM 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, DICOM 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용하여 신규 사용자에게 기존 roles/healthcare.dicomViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /dicomStores/DICOM_STORE_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
FHIR 저장소에 IAM 사용
다음 섹션에서는 FHIR 저장소에 대해 정책을 가져오고, 수정, 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 가져오기
다음 샘플은 FHIR 저장소 수준 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.locations.datasets.fhirStores.getIamPolicy
를 참조하세요.
FHIR 저장소에 대한 IAM 정책을 보려면 다음 안내를 따르세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- FHIR 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 가져올 FHIR 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 펼칩니다.
FHIR 저장소에 대해 IAM 정책을 보려면 gcloud healthcare fhir-stores get-iam-policy
명령어를 실행합니다. FHIR 저장소 이름, 데이터 세트 이름, 위치를 지정합니다.
gcloud healthcare fhir-stores get-iam-policyFHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag:bytes version:VERSION_NUMBER
FHIR 저장소에 대한 IAM 정책을 읽으려면 POST
요청을 수행하고 데이터 세트 이름, FHIR 저장소 이름 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 POST
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /fhirStores/FHIR_STORE_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
FHIR 저장소에 대한 IAM 정책을 읽으려면 POST
요청을 수행하고 데이터 세트 이름, FHIR 저장소 이름 및 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 POST
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /fhirStores/FHIR_STORE_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 수정
다음 샘플은 신규 사용자에게 roles/healthcare.fhirResourceReader
역할을 부여합니다. 자세한 내용은 projects.locations.datasets.fhirStores.setIamPolicy
를 참조하세요.
정책 설정
FHIR 저장소 수준 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- FHIR 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 설정할 FHIR 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 주 구성원 추가를 클릭합니다.
- 새 주 구성원 필드에 FHIR 저장소에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare 아래에서 부여할 권한을 선택합니다. 예를 들어 Healthcare FHIR 리소스 리더를 선택합니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.fhirResourceReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 적절한 set-iam-policy
명령어를 실행하여 변경합니다.
FHIR 저장소 수준 정책을 설정하려면 gcloud healthcare fhir-stores set-iam-policy
명령어를 실행합니다. FHIR 저장소 이름, 데이터 세트 이름, 위치, 생성한 정책 파일의 경로를 지정합니다.
gcloud healthcare fhir-stores set-iam-policyFHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \POLICY_FILE_NAME
요청이 성공하면 FHIR 저장소 이름과 binding이 표시됩니다.
Updated IAM policy for fhirStore [FHIR_STORE_ID ]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag:bytes version:VERSION_NUMBER
etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.fhirResourceReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.fhirStores.setIamPolicy
를 호출하여 업데이트합니다.
FHIR 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, FHIR 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.fhirResourceReader
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /fhirStores/FHIR_STORE_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.fhirResourceReader
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.fhirStores.setIamPolicy
를 호출하여 업데이트합니다.
FHIR 저장소 수준 IAM 정책을 설정하려면 POST
요청을 수행하고 데이터 세트 이름, FHIR 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용하여 신규 사용자에게 기존 roles/healthcare.fhirResourceReader
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /fhirStores/FHIR_STORE_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
HL7v2 저장소에 IAM 사용
다음 섹션에서는 HL7v2 저장소에 대해 정책을 가져오고 수정, 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 가져오기
다음 샘플은 HL7v2 저장소 수준 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.locations.datasets.hl7V2Stores.getIamPolicy
를 참조하세요.
HL7v2 저장소에 대한 IAM 정책을 보려면 다음 안내를 따르세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- HL7v2 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 가져올 HL7v2 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 펼칩니다.
HL7v2 저장소에 대한 IAM 정책을 보려면 hl7v2-stores get-iam-policy
명령어를 실행합니다. HL7v2 저장소 이름, 데이터 세트 이름, 위치를 지정합니다.
gcloud healthcare hl7v2-stores get-iam-policyHL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag:bytes version:VERSION_NUMBER
HL7v2 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, HL7v2 저장소 이름 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 GET
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /hl7V2Stores/HL7V2_STORE_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
HL7v2 저장소의 IAM 정책을 읽으려면 GET
요청을 수행하고 데이터 세트 이름, HL7v2 저장소 이름 및 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 GET
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /hl7V2Stores/HL7V2_STORE_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
정책 수정
다음 샘플은 신규 사용자에게 roles/healthcare.hl7V2Consumer
역할을 부여합니다. 자세한 내용은 projects.locations.datasets.hl7V2Stores.setIamPolicy
를 참조하세요.
정책 설정
HL7v2 저장소 수준 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 데이터 세트 페이지로 이동합니다.
- HL7v2 저장소가 포함된 데이터 세트의 ID를 클릭한 다음 정책을 설정할 HL7v2 저장소를 선택합니다.
- 정보 패널 표시를 클릭합니다.
- 주 구성원 추가를 클릭합니다.
- 새 주 구성원 필드에 HL7v2 저장소에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare 아래에서 부여할 권한을 선택합니다. 예를 들어 Healthcare HL7v2 메시지 소비자를 선택합니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.hl7V2Consumer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 적절한 set-iam-policy
명령어를 실행하여 변경합니다.
HL7v2 저장소 수준 정책을 설정하려면 gcloud healthcare hl7v2-stores set-iam-policy
명령어를 실행합니다. HL7v2 저장소 이름, 데이터 세트 이름, 위치, 생성한 정책 파일의 경로를 지정합니다.
gcloud healthcare hl7v2-stores set-iam-policyHL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \POLICY_FILE_NAME
요청이 성공하면 HL7v2 저장소 이름과 binding이 표시됩니다.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID ]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag:bytes version:VERSION_NUMBER
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.hl7V2Consumer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.hl7V2Stores.setIamPolicy
를 호출하여 업데이트합니다.
HL7v2 저장소 수준 IAM 정책을 설정하려면 POST
요청을 만들고 데이터 세트 이름, HL7v2 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.hl7V2Consumer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /hl7V2Stores/HL7V2_STORE_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 사용자에게 역할을 부여하려면 roles/healthcare.hl7V2Consumer
binding 아래의 members
배열에 사용자의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.locations.datasets.hl7V2Stores.setIamPolicy
를 호출하여 업데이트합니다.
HL7v2 저장소 수준 IAM 정책을 설정하려면 POST
요청을 만들고 데이터 세트 이름, HL7v2 저장소 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.hl7V2Consumer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /datasets/DATASET_ID /hl7V2Stores/HL7V2_STORE_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS " ] } ] }
Healthcare Natural Language API에서 IAM 사용
다음 섹션에서는 Healthcare Natural Language API의 정책을 가져오고 수정하며 설정하는 방법을 보여줍니다. 이 섹션에서는 다음 샘플 정책이 시작점으로 사용됩니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
정책 가져오기
다음 샘플은 프로젝트 수준의 IAM 정책을 읽는 방법을 보여줍니다. 자세한 내용은 projects.getIamPolicy
메서드를 참조하세요.
프로젝트의 IAM 정책을 읽으려면 POST
요청을 수행하고 프로젝트 이름과 액세스 토큰을 지정합니다.
다음 샘플은 curl
을 사용하는 POST
요청을 보여줍니다.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID :getIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
프로젝트의 IAM 정책을 보려면 POST
요청을 실행하고 프로젝트 이름과 액세스 토큰을 지정합니다.
다음 샘플은 Windows PowerShell을 사용한 POST
요청을 보여줍니다.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID :getIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
프로젝트의 IAM 정책을 보려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
- 역할에 할당된 주 구성원을 보려면 역할을 클릭한 다음 역할을 펼칩니다.
프로젝트의 IAM 정책을 보려면 gcloud projects get-iam-policy
명령어를 실행합니다. 요청에 프로젝트 이름을 지정합니다.
gcloud projects get-iam-policyPROJECT_ID
요청이 성공하면 binding이 표시됩니다.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag:bytes version:VERSION_NUMBER
정책 수정
다음 샘플에서는 서비스에 roles/healthcare.nlpServiceViewer
역할을 부여합니다. 자세한 내용은 projects.setIamPolicy
를 참조하세요.
정책 설정
프로젝트 수준의 IAM 정책을 설정하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
- 주 구성원 옆에 있는 수정 버튼을 클릭하거나 주 구성원 추가를 클릭한 후 새 주 구성원 필드에서 프로젝트에 액세스해야 하는 ID를 하나 이상 입력합니다.
- 역할 선택 목록의 Cloud Healthcare에서 Healthcare Natural Language 서비스 뷰어를 선택합니다.
- 저장을 클릭합니다.
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 서비스 계정에 역할을 부여하려면 roles/healthcare.nlpServiceViewer
바인딩 아래의 members
배열에 서비스 계정의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
적용 가능한 역할을 부여하기 위해 정책을 수정한 후에는 gcloud projects set-iam-policy
명령어를 실행하여 변경합니다. 프로젝트와 사용자가 만든 정책 파일의 경로를 지정합니다.
gcloud projects set-iam-policyPROJECT_STORE_ID \POLICY_FILE_NAME
요청이 성공하면 프로젝트 이름과 결합이 표시됩니다.
Updated IAM policy for project [PROJECT_ID ]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag:bytes version:VERSION_NUMBER
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 서비스 계정에 역할을 부여하려면 roles/healthcare.nlpServiceViewer
바인딩 아래의 members
배열에 서비스 계정의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.setIamPolicy
를 호출하여 업데이트합니다.
프로젝트 수준의 IAM 정책을 설정하려면 POST
요청을 수행하고 프로젝트 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.nlpServiceViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID :setIamPolicy"
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
검색한 정책을 수정하거나 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 사용자에게 역할을 부여하거나 취소합니다. 정책이 변경되면 etag
값이 변경되므로 현재 값을 지정해야 합니다.
새 서비스 계정에 역할을 부여하려면 roles/healthcare.nlpServiceViewer
바인딩 아래의 members
배열에 서비스 계정의 이메일 주소를 추가합니다.
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS " ] }
members
배열에서 해당 이메일 주소를 삭제합니다. 역할이 있는 마지막 주 구성원의 액세스 권한을 취소하려면 역할의 bindings
배열을 삭제합니다. 정책에 빈 bindings
배열이 있을 수 없습니다.
해당 역할을 부여하도록 정책을 수정한 후 projects.setIamPolicy
를 호출하여 업데이트합니다.
프로젝트 수준의 IAM 정책을 설정하려면 POST
요청을 수행하고 프로젝트 이름, 정책 및 액세스 토큰을 지정합니다.
다음 샘플은 curl
를 사용하여 신규 사용자에게 기존 roles/healthcare.nlpServiceViewer
역할을 부여하는 POST
요청을 보여줍니다.
Policy
를 참조하세요.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS ' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID :setIamPolicy" | Select-Object -Expand Content
응답은 다음과 같습니다.
{ "etag":"bytes ", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS " ] } ] }