이 페이지에서는 Identity and Access Management(IAM) 커스텀 역할을 만들고 관리하는 방법을 설명합니다. 역할 관리에는 역할 수정, 사용 중지, 나열, 삭제, 삭제 취소가 포함됩니다.
시작하기 전에
Enable the IAM API.
인증을 설정합니다.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C#
로컬 개발 환경에서 이 페이지의 .NET 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경용 ADC 설정을 참고하세요.
C++
로컬 개발 환경에서 이 페이지의 C++ 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경용 ADC 설정을 참고하세요.
Go
로컬 개발 환경에서 이 페이지의 Go 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경용 ADC 설정을 참고하세요.
Java
로컬 개발 환경에서 이 페이지의 Java 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경용 ADC 설정을 참고하세요.
Python
로컬 개발 환경에서 이 페이지의 Python 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경용 ADC 설정을 참고하세요.
REST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참고하세요.
Google Cloud 리소스 계층 구조를 이해합니다.
IAM 커스텀 역할 이해를 읽어보세요.
필요한 역할
커스텀 역할을 만들고 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
-
프로젝트에 대한 역할을 관리하려는 경우: 역할을 관리할 프로젝트에 대한 역할 관리자(
roles/iam.roleAdmin
) -
조직에 대한 역할을 관리하려는 경우: 역할을 관리할 조직에 대한 조직 역할 관리자(
roles/iam.organizationRoleAdmin
)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
프로젝트, 폴더, 조직에 사용 가능한 권한 보기
전체 조직이나 해당 조직의 특정 프로젝트에 대한 커스텀 역할을 만들 수 있습니다. 커스텀 역할에 사용할 수 있는 권한은 역할을 만드는 위치에 따라 다릅니다. 예를 들어 권한이 조직 수준에서만 사용될 수 있으면 프로젝트 수준 커스텀 역할에 이 권한을 포함할 수 없습니다.
조직 수준 및 프로젝트 수준 커스텀 역할에 사용할 수 있는 권한을 확인하려면 gcloud CLI나 Identity and Access Management API를 사용하여 특정 조직 또는 프로젝트에서 사용할 수 있는 권한을 나열할 수 있습니다. 예를 들어 프로젝트에서 생성된 커스텀 역할에 사용할 수 있는 모든 권한을 가져올 수 있습니다.
일부 권한이 커스텀 역할에서 지원되더라도 사용자에게 표시되지 않거나 커스텀 역할에서 사용되지 않을 수 있습니다. 예를 들어 서비스에 API를 사용 설정하지 않으면 커스텀 역할에서 사용할 수 있는 권한을 사용하지 못할 수 있습니다.
커스텀 역할에 추가할 수 있는 권한에 대한 자세한 내용은 지원되는 권한을 참조하세요.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
특정 프로젝트나 조직에서 커스텀 역할에 사용할 수 있는 권한의 목록을 가져오려면
gcloud iam list-testable-permissions
명령어를 사용합니다. 응답에는 프로젝트나 조직의 커스텀 역할에 사용할 수 있는 권한이 나열됩니다.프로젝트나 조직의 커스텀 역할에서 사용할 수 있는 권한을 나열하려면 다음 명령어를 실행합니다.
gcloud iam list-testable-permissions FULL_RESOURCE_NAME \ --filter="customRolesSupportLevel!=NOT_SUPPORTED"
FULL_RESOURCE_NAME
을 다음 값 중 하나로 바꿉니다.-
프로젝트:
//cloudresourcemanager.googleapis.com/projects/PROJECT_ID
(예://cloudresourcemanager.googleapis.com/projects/my-project
) -
조직:
//cloudresourcemanager.googleapis.com/organizations/NUMERIC_ID
(예://cloudresourcemanager.googleapis.com/organizations/123456789012
)
결과에는 각 권한이 커스텀 역할에서 지원되는지 여부가 표시됩니다.
customRolesSupportLevel
필드가 없는 권한은 완전히 지원됩니다.list-testable-permissions
명령어는 결과 수백 개를 반환할 수 있습니다. 이 부분 예시에서는 각 결과의 형식을 보여줍니다.--- name: appengine.applications.create stage: GA --- customRolesSupportLevel: TESTING name: appengine.applications.disable stage: GA --- name: appengine.applications.get stage: GA --- name: appengine.applications.update stage: GA --- name: appengine.instances.delete stage: GA --- name: appengine.instances.get stage: GA ---
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
permissions.queryTestablePermissions
메서드는 조직이나 프로젝트에서 사용할 수 있는 권한을 나열합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
FULL_RESOURCE_NAME
: 서비스 이름과 리소스 경로로 구성된 URI입니다. 예시는 전체 리소스 이름을 참조하세요.PAGE_SIZE
: 선택사항. 응답에 포함할 권한 수입니다. 기본값은 100이고 최댓값은 1,000입니다. 권한 수가 페이지 크기보다 크면 다음 결과 페이지를 검색하기 위해 사용할 수 있는 페이지로 나누기 토큰이 응답에 포함됩니다.NEXT_PAGE_TOKEN
: 선택사항. 이 메서드의 이전 응답에서 반환된 페이지 나누기 토큰입니다. 지정된 경우 이전 응답이 종료된 위치에서 테스트 가능한 권한 목록이 시작됩니다.
HTTP 메서드 및 URL:
POST https://iam.googleapis.com/v1/permissions:queryTestablePermissions
JSON 요청 본문:
{ "fullResourceName": "FULL_RESOURCE_NAME" "pageSize": PAGE_SIZE, "pageToken": "NEXT_PAGE_TOKEN" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 권한 목록이 포함됩니다.
{ "permissions": [ { "name": "iam.serviceAccountKeys.create", "stage": "GA" }, { "name": "iam.serviceAccountKeys.delete", "stage": "GA" }, { "name": "iam.serviceAccountKeys.get", "stage": "GA" } ], "nextPageToken": "CgoHBajEfjUDQyABEPaIv5vIiMDTVhgDIhtpYW0uc2VydmljZUFjY291bnRLZXlzLmxpc3Q" }
역할 메타데이터 가져오기
커스텀 역할을 만들기 전에 사전 정의된 역할과 커스텀 역할의 메타데이터를 가져오는 것이 좋습니다. 역할 메타데이터로는 역할 ID 및 역할에 포함된 권한 등이 있습니다. Google Cloud Console 또는 IAM API를 사용하여 메타데이터를 볼 수 있습니다.
역할 메타데이터를 보려면 아래 방법 중 하나를 사용합니다.
Console
Google Cloud Console에서 역할 페이지로 이동합니다.
페이지 상단의 드롭다운 목록에서 조직 또는 프로젝트를 선택합니다.
권한을 확인할 역할의 체크박스를 하나 이상 선택합니다. 역할에 포함된 권한이 있으면 오른쪽 패널에 이 권한이 표시됩니다.
유형 열의 아이콘은 커스텀 역할
또는 사전 정의된 역할특정 권한을 포함하는 역할을 모두 찾으려는 경우 역할 목록 상단의 필터 상자에 권한 이름을 입력합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
사전 정의된 역할과 커스텀 역할의 메타데이터를 보려면
gcloud iam roles describe
명령어를 사용합니다.사전 정의된 역할의 메타데이터를 보려면 다음 명령어를 실행합니다.
gcloud iam roles describe ROLE_ID
ROLE_ID
는 역할 ID입니다. 사전 정의된 역할의 ID에는role
프리픽스가 포함됩니다(예:roles/iam.roleViewer
).다음 예시에서는 사전 정의된 역할
roles/iam.roleViewer
에서describe
명령어를 실행한 출력을 보여줍니다.gcloud iam roles describe roles/iam.roleViewer
description: Read access to all custom roles in the project. etag: AA== includedPermissions: - iam.roles.get - iam.roles.list - resourcemanager.projects.get - resourcemanager.projects.getIamPolicy name: roles/iam.roleViewer stage: GA title: Role Viewer
커스텀 역할의 메타데이터를 보려면 다음 명령어 중 하나를 실행합니다.
-
조직 수준에서 생성된 커스텀 역할의 메타데이터를 보려면 다음 명령어를 실행합니다.
gcloud iam roles describe --organization=ORGANIZATION_ID ROLE_ID
-
프로젝트 수준에서 생성된 커스텀 역할의 메타데이터를 보려면 다음 명령어를 실행합니다.
gcloud iam roles describe --project=PROJECT_ID ROLE_ID
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
). -
ROLE_ID
는 역할 ID이며projects/
,organizations/
,roles/
와 같은 프리픽스는 제외됩니다. 예를 들면myCompanyAdmin
입니다.
자세한 내용은
gcloud iam roles describe
참조 문서를 확인하세요. -
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.get
메서드는 역할 정의를 가져옵니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
ROLE_NAME
:organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면organizations/123456789012/roles/myCompanyAdmin
입니다.
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v1/ROLE_NAME
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 역할 정의가 포함됩니다.
{ "name": "projects/my-project/roles/customRole", "title": "My Custom Role", "description": "My custom role description.", "includedPermissions": [ "storage.buckets.get", "storage.buckets.list" ], "etag": "BwWiPg2fmDE=" }
맞춤 역할 만들기
프로젝트 또는 조직 수준에서 커스텀 역할을 만들 수 있습니다.
조직 수준 커스텀 역할에는 커스텀 역할에서 지원되는 IAM 권한이 포함될 수 있습니다. 프로젝트 수준 커스텀 역할에는
resourcemanager.organizations.get
과 같은 조직이나 폴더 수준에서만 사용할 수 있는 권한을 제외한 지원되는 모든 권한이 포함될 수 있습니다. 이러한 권한을 프로젝트 수준 커스텀 역할에 추가하려고 하면 오류 메시지가 표시됩니다.콘솔
'프로젝트 수준의 커스텀 역할에 적용 불가'라는 경고 메시지가 표시됩니다. 권한이 포함된 권한 목록에서 자동으로 선택 취소되며 역할 만들기를 계속 진행할 수 있습니다.
gcloud
다음과 같은 오류 메시지가 반환됩니다.
INVALID_ARGUMENT: Permission PERMISSION is not valid
. 먼저 역할 정의에서 권한을 삭제하고 다시 작업을 시도할 때까지 커스텀 역할을 만들 수 없습니다.REST API
HTTP 400 오류 코드 및
INVALID_ARGUMENT
상태 코드와 함께Permission PERMISSION is not valid
오류 메시지가 반환됩니다. 먼저 역할 정의에서 권한을 삭제하고 다시 작업을 시도할 때까지 커스텀 역할을 만들 수 없습니다.각 커스텀 역할에는 최대 3,000개의 권한이 포함될 수 있습니다. 또한 커스텀 역할의 제목, 설명, 권한 이름의 최대 총 크기는 64KB입니다. 더 큰 커스텀 역할을 만들어야 하는 경우에는 권한을 커스텀 역할 여러 개로 분할하면 됩니다. 커스텀 역할 간의 관계(예:
Custom Admin (1 of 2)
및Custom Admin (2 of 2)
)를 보여주는 역할 제목을 선택합니다.각 커스텀 역할에는 출시 단계가 포함될 수 있습니다. 대부분의 출시 단계는 정보 제공용이며, 각 역할을 광범위하게 사용할 준비가 되었는지 여부를 추적하는 데 도움이 됩니다. 또한
DISABLED
출시 단계에서는 커스텀 역할을 사용 중지할 수 있습니다. 출시 단계에 대한 상세 내용은 테스트 및 배포를 참조하세요.Console
일부 사전 정의된 역할에는 지원 중단된 권한 또는 커스텀 역할에서 허용되지 않는 권한이 포함되어 있습니다. 이렇게 사전 정의된 역할을 기반으로 커스텀 역할을 만들면 커스텀 역할은 지원 중단된 권한 및 제한된 권한을 생략합니다.
커스텀 역할을 처음부터 새로 만들려면 다음 안내를 따르세요.
Google Cloud Console에서 역할 페이지로 이동합니다.
페이지 상단의 드롭다운 목록을 사용하여 역할을 만들려는 조직 또는 프로젝트를 선택합니다.
역할 만들기를 클릭합니다.
역할의 제목, 설명, ID, 역할 실행 단계를 입력합니다. 역할을 만든 후에는 역할 ID를 변경할 수 없습니다.
권한 추가를 클릭합니다.
역할에 포함할 권한을 선택하고 권한 추가를 클릭합니다. 모든 서비스 및 모든 유형 드롭다운 목록을 사용하여 서비스 및 유형별로 권한을 필터링하고 선택합니다.
기존의 사전 정의된 역할을 기반으로 커스텀 역할을 만들려면 다음 안내를 따르세요.
- Google Cloud Console에서 역할 페이지로 이동합니다.
- 역할을 만들려는 조직 또는 프로젝트를 선택합니다.
- 새 커스텀 역할을 만드는 데 사용할 역할을 선택합니다.
- 기존 역할에서 역할 만들기를 클릭합니다.
- 역할의 제목, 설명, ID, 역할 실행 단계를 입력합니다. 역할을 만든 후에는 역할 ID를 변경할 수 없습니다.
- 역할에서 제외할 권한을 선택 해제합니다.
- 권한 추가를 클릭하여 권한을 포함합니다.
- 만들기를 클릭합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
새 커스텀 역할을 만들려면
gcloud iam roles create
명령어를 사용합니다. 두 가지 방법으로 이 명령어를 사용할 수 있습니다.-
역할 정의를 포함하는 YAML 파일 제공
-
플래그를 사용하여 역할 정의 지정
커스텀 역할을 만들 때
--organization=ORGANIZATION_ID
또는--project=PROJECT_ID
플래그를 사용하여 조직 수준 또는 프로젝트 수준에 적용되는지 여부를 지정해야 합니다. 아래의 각 예에서는 프로젝트 수준으로 커스텀 역할을 만듭니다.커스텀 역할에는 커스텀 역할에서 지원되는 권한만 포함할 수 있습니다. 커스텀 역할에 다른 권한이 포함되어 있으면 명령어가 실패합니다.
YAML 파일을 사용하여 커스텀 역할 만들기
커스텀 역할의 정의를 포함하는 YAML 파일을 만듭니다. 파일의 구조는 다음과 같아야 합니다.
title: ROLE_TITLE description: ROLE_DESCRIPTION stage: LAUNCH_STAGE includedPermissions: - PERMISSION_1 - PERMISSION_2
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_TITLE
은 역할의 별칭입니다(예:"My Company Admin"
). -
ROLE_DESCRIPTION
은 역할에 대한 간단한 설명입니다(예:"My custom role description"
). -
LAUNCH_STAGE
는 출시 수명 주기에서 역할의 단계를 나타냅니다(예:ALPHA
,BETA
,GA
). -
PERMISSION_1
및PERMISSION_2
는 커스텀 역할(예:iam.roles.get
)에 포함할 권한입니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다.
YAML 파일을 저장한 후 다음 명령어 중 하나를 실행합니다.
-
조직 수준에서 커스텀 역할을 만들려면 다음 명령어를 실행합니다.
gcloud iam roles create ROLE_ID--organization=ORGANIZATION_ID \ --file=YAML_FILE_PATH
-
프로젝트 수준에서 커스텀 역할을 만들려면 다음 명령어를 실행합니다.
gcloud iam roles create ROLE_ID --project=PROJECT_ID \ --file=YAML_FILE_PATH
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
). -
YAML_FILE_PATH
는 커스텀 역할 정의가 포함된 YAML 파일의 위치에 대한 경로입니다.
예시
다음은 역할 정의를 만드는 방법을 보여주는 YAML 파일의 예입니다.
title: "My Company Admin" description: "My custom role description." stage: "ALPHA" includedPermissions: - iam.roles.get - iam.roles.list
다음 예시에서는 YAML 파일을 사용하여 조직 수준에서 역할을 만드는 방법을 보여줍니다.
gcloud iam roles create myCompanyAdmin --organization=123456789012 \ --file=my-role-definition.yaml
역할이 성공적으로 생성되면 다음과 비슷한 명령어 결과가 출력됩니다.
Created role [myCompanyAdmin]. description: My custom role description. etag: BwVkBX0sQD0= includedPermissions: - iam.roles.get - iam.roles.list name: organizations/123456789012/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
다음 예시에서는 YAML 파일을 사용하여 프로젝트 수준에서 역할을 만드는 방법을 보여줍니다.
gcloud iam roles create myCompanyAdmin --project=my-project \ --file=my-role-definition.yaml
역할이 성공적으로 생성되면 다음과 비슷한 명령어 결과가 출력됩니다.
Created role [myCompanyAdmin]. description: My custom role description. etag: BwVkBX0sQD0= includedPermissions: - iam.roles.get - iam.roles.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
플래그를 사용하여 커스텀 역할 만들기
다음 명령어 중 하나를 실행합니다.
-
조직 수준에서 커스텀 역할을 만들려면 다음 명령어를 실행합니다.
gcloud iam roles create ROLE_ID--organization=ORGANIZATION_ID \ --title=ROLE_TITLE --description=ROLE_DESCRIPTION \ --permissions="PERMISSIONS_LIST" --stage=LAUNCH_STAGE
-
프로젝트 수준에서 커스텀 역할을 만들려면 다음 명령어를 실행합니다.
gcloud iam roles create ROLE_ID --project=PROJECT_ID \ --title=ROLE_TITLE --description=ROLE_DESCRIPTION \ --permissions="PERMISSIONS_LIST" --stage=LAUNCH_STAGE
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
). -
ROLE_TITLE
은 역할의 별칭입니다(예:"My Company Admin"
). -
ROLE_DESCRIPTION
은 역할에 대한 간단한 설명입니다(예:"My custom role description."
). -
PERMISSIONS_LIST
는 커스텀 역할에 포함할 권한의 쉼표로 구분된 목록을 포함합니다. 예를 들면iam.roles.get,iam.roles.list
입니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다. -
LAUNCH_STAGE
는 출시 수명 주기에서 역할의 단계를 나타냅니다(예:ALPHA
,BETA
,GA
).
예시
다음 예시에서는 플래그를 사용하여 조직 수준에서 역할을 만드는 방법을 보여줍니다.
gcloud iam roles create myCompanyAdmin --organization=123456789012 \ --title="My Company Admin" --description="My custom role description." \ --permissions="iam.roles.get,iam.roles.list" --stage=ALPHA
역할이 성공적으로 생성되면 다음과 비슷한 명령어 결과가 출력됩니다.
Created role [myCompanyAdmin]. description: My custom role description. etag: BwVkBX0sQD0= includedPermissions: - iam.roles.get - iam.roles.list name: organizations/123456789012/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
다음 예시에서는 플래그를 사용하여 프로젝트 수준에서 역할을 만드는 방법을 보여줍니다.
gcloud iam roles create myCompanyAdmin --project=my-project \ --title="My Company Admin" --description="My custom role description." \ --permissions="iam.roles.get,iam.roles.list" --stage=ALPHA
역할이 성공적으로 생성되면 다음과 비슷한 명령어 결과가 출력됩니다.
Created role [myCompanyAdmin]. description: My custom role description. etag: BwVkBX0sQD0= includedPermissions: - iam.roles.get - iam.roles.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.create
메서드는 프로젝트나 조직에 커스텀 역할을 만듭니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
RESOURCE_TYPE
: 관리하려는 커스텀 역할을 포함하는 리소스 유형입니다.projects
또는organizations
값을 사용합니다.RESOURCE_ID
: 관리하려는 커스텀 역할을 포함하는 프로젝트 ID 또는 조직 ID입니다. 프로젝트 ID는my-project
같은 영숫자 문자열입니다. 조직 ID는123456789012
같은 숫자입니다.ROLE_ID
: 역할의 이름입니다(예:myCompanyAdmin
).ROLE_TITLE
: 사람이 읽을 수 있는 역할 이름입니다. 예를 들면My Company Admin
입니다.ROLE_DESCRIPTION
: 역할에 대한 설명입니다. 예를 들면"The company admin role allows company admins to access important resources"
입니다.-
PERMISSION_1
및PERMISSION_2
: 역할에 포함하려는 권한입니다. 예를 들면storage.objects.update
입니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다.커스텀 역할에는 커스텀 역할에서 지원되는 권한만 포함할 수 있습니다. 커스텀 역할에 다른 권한이 포함된 경우 요청이 실패합니다.
LAUNCH_STAGE
: 역할의 현재 실행 단계입니다. 이 필드에는EAP
,ALPHA
,BETA
,GA
,DEPRECATED
,DISABLED
값 중 하나가 포함될 수 있습니다.
HTTP 메서드 및 URL:
POST https://iam.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/roles
JSON 요청 본문:
{ "roleId": "ROLE_ID", "role": { "title": "ROLE_TITLE", "description": "ROLE_DESCRIPTION", "includedPermissions": [ "PERMISSION_1", "PERMISSION_2" ], "stage": "LAUNCH_STAGE" } }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 생성된 역할이 포함됩니다.
{ "name": "projects/myProject/roles/myCompanyAdmin", "title": "My Company Admin", "description": "My custom role description.", "includedPermissions": [ "iam.roles.get", "iam.roles.list" ], "etag": "BwWox/JbaZw=" }
기존 커스텀 역할 수정
리소스의 메타데이터(예: 커스텀 역할)를 업데이트하는 일반적인 패턴은 읽기-수정-쓰기 패턴입니다. 이 패턴을 사용하면 역할의 현재 상태를 읽고 데이터를 로컬에서 업데이트한 다음 쓰기를 수행하기 위해 수정된 데이터를 전송합니다.
읽기-수정-쓰기 패턴에서는 서로 독립된 둘 이상의 프로세스가 동시에 시퀀스를 시도할 경우 충돌이 발생할 수 있습니다. 예를 들어 프로젝트 소유자 두 명이 동시에 상충하는 역할 변경을 시도할 경우 변경이 일부 실패할 수 있습니다. IAM은 커스텀 역할에서
etag
속성을 사용해 이 문제를 해결합니다. 이 속성은 마지막 요청 이후 커스텀 역할의 변경 여부를 확인하는 데 사용됩니다. etag 값으로 IAM에 요청을 수행하면 IAM이 요청의 etag 값을 커스텀 역할과 연결된 기존 etag 값과 비교합니다. 이때 etag 값이 일치하는 경우에만 정책을 씁니다.역할을 업데이트할 때는 일단
roles.get()
를 사용해 역할을 가져와 업데이트한 다음roles.patch()
를 사용해 업데이트된 정책을 씁니다. 역할을 설정할 때는roles.get()
에서 해당하는 역할에 etag 값이 있는 경우에만 etag 값을 사용하세요.Console
Google Cloud Console에서 역할 페이지로 이동합니다.
페이지 상단의 드롭다운 목록을 사용하여 편집하려는 역할이 포함된 프로젝트 또는 조직을 선택합니다.
커스텀 역할을 클릭합니다.
역할 수정을 클릭합니다.
역할의 메타데이터를 업데이트하려면 역할의 제목, 설명 또는 역할 실행 단계를 수정합니다.
역할의 권한을 업데이트하려면 다음을 수행합니다.
- 권한 추가를 클릭하여 역할에 새 권한을 추가합니다.
- 권한을 선택 해제하여 역할에서 권한을 삭제합니다.
업데이트를 클릭하여 수정한 역할을 저장합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
커스텀 역할을 업데이트하려면
gcloud iam roles update
명령어를 사용합니다. 두 가지 방법으로 이 명령어를 사용할 수 있습니다.-
업데이트된 역할 정의를 포함하는 YAML 파일 제공
-
플래그를 사용하여 업데이트된 역할 정의 지정
커스텀 역할을 업데이트할 때
--organization=ORGANIZATION_ID
또는--project=PROJECT_ID
플래그를 사용하여 조직 수준 또는 프로젝트 수준에 적용되는지 여부를 지정해야 합니다. 아래의 각 예에서는 프로젝트 수준으로 커스텀 역할을 만듭니다.YAML 파일을 사용하여 커스텀 역할 업데이트:
다음 명령어 중 하나를 실행하여 역할의 현재 정의를 가져옵니다.
-
조직 수준 커스텀 역할의 역할 정의를 가져오려면 다음 명령어를 실행합니다.
gcloud iam roles describe ROLE_ID --organization=ORGANIZATION_ID
-
프로젝트 수준 커스텀 역할의 역할 정의를 가져오려면 다음 명령어를 실행합니다.
gcloud iam roles describe ROLE_ID --project=PROJECT_ID
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 업데이트할 역할의 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
).
describe
명령어는 역할의 정의를 반환하고 역할의 현재 버전을 고유하게 식별하는etag
값을 포함합니다. 동시에 발생하는 역할 변경사항을 덮어쓰지 않도록 업데이트된 역할 정의에etag
값을 제공해야 합니다.describe
명령어는 다음 출력을 반환합니다.description: ROLE_DESCRIPTION etag: ETAG includedPermissions: - PERMISSION_1 - PERMISSION_2 name: ROLE_NAME stage: LAUNCH_STAGE title: ROLE_TITLE
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_DESCRIPTION
은 역할에 대한 간단한 설명입니다(예:"My custom role description"
). -
ETAG
는 역할의 현재 버전에 대한 고유 식별자입니다(예:BwVkBkbfr70=
). -
PERMISSION_1
및PERMISSION_2
는 커스텀 역할(예:iam.roles.get
)에 포함할 권한입니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다. -
ROLE_NAME
은organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면 다음과 같습니다.organizations/123456789012/roles/myCompanyAdmin.
-
LAUNCH_STAGE
는 출시 수명 주기에서 역할의 단계를 나타냅니다(예:ALPHA
,BETA
,GA
). -
ROLE_TITLE
은 역할의 별칭입니다(예:"My Company Admin"
).
역할을 업데이트하려면 출력된 역할 정의를 YAML 파일에 포함하거나 원본 YAML 파일을 출력된
etag
값으로 업데이트합니다.다음 YAML 파일 예시에는 프로젝트 수준 역할에서
describe
명령어의 결과를 포함하고 Cloud Storage 권한 두 개를 추가합니다.description: My custom role description. etag: BwVkBkbfr70= includedPermissions: - iam.roles.get - iam.roles.list - storage.buckets.get - storage.buckets.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
YAML 파일을 저장한 후 다음 명령어 중 하나를 실행합니다.
-
조직 수준 역할을 업데이트하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID--organization=ORGANIZATION_ID \ --file=YAML_FILE_PATH
-
프로젝트 수준 역할을 업데이트하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID --project=PROJECT_ID \ --file=YAML_FILE_PATH
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 업데이트할 역할의 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project-id
). -
YAML_FILE_PATH
는 업데이트된 커스텀 역할 정의가 포함된 YAML 파일의 위치에 대한 경로입니다.
예시
다음 예시에서는 YAML 파일을 사용하여 조직 수준 역할을 업데이트하는 방법을 보여줍니다.
gcloud iam roles update ROLE_ID --organization=ORGANIZATION_ID \ --file=YAML_FILE_PATH
-
프로젝트 수준 역할을 업데이트하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID --project=PROJECT_ID \ --file=YAML_FILE_PATH
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 업데이트할 역할의 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
). -
YAML_FILE_PATH
는 업데이트된 커스텀 역할 정의가 포함된 YAML 파일의 위치에 대한 경로입니다.
예시
다음 예시에서는 YAML 파일을 사용하여 조직 수준 역할을 업데이트하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --organization=123456789012 \ --file=my-role-definition.yaml
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkBwDN0lg= includedPermissions: - iam.roles.get - iam.roles.list - storage.buckets.get - storage.buckets.list name: organizations/123456789012/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
다음 예시에서는 YAML 파일을 사용하여 프로젝트 수준 역할을 업데이트하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --project=my-project \ --file=my-role-definition.yaml
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkBwDN0lg= includedPermissions: - iam.roles.get - iam.roles.list - storage.buckets.get - storage.buckets.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
플래그를 사용하여 커스텀 역할 업데이트:
해당 플래그를 사용하여 역할 정의의 각 부분을 업데이트할 수 있습니다. 가능한 모든 플래그 목록은
gcloud iam roles update
주제를 참조하세요.다음 플래그를 사용하여 권한을 추가하거나 삭제할 수 있습니다.
-
--add-permissions=PERMISSIONS
: 역할에 쉼표로 구분된 권한을 한 개 이상 추가합니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다. -
--remove-permissions=PERMISSIONS
: 역할에서 쉼표로 구분된 권한을 한 개 이상 삭제합니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다.
또는
--permissions=PERMISSIONS
플래그를 사용하고 기존 권한 목록을 대체할 쉼표로 구분된 권한 목록을 제공하여 간단하게 새 권한을 지정할 수 있습니다.역할 정의의 다른 부분을 업데이트하려면 다음 명령어 중 하나를 실행합니다.
-
조직 수준 역할을 업데이트하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID--organization=ORGANIZATION_ID \ --title=ROLE_TITLE --description=ROLE_DESCRIPTION \ --stage=LAUNCH_STAGE
-
프로젝트 수준 역할을 업데이트하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID --project=PROJECT_ID \ --title=ROLE_TITLE --description=ROLE_DESCRIPTION \ --stage=LAUNCH_STAGE
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
). -
ROLE_TITLE
은 역할의 별칭입니다(예:"My Company Admin"
). -
ROLE_DESCRIPTION
은 역할에 대한 간단한 설명입니다(예:"My custom role description."
). -
LAUNCH_STAGE
는 출시 수명 주기에서 역할의 단계를 나타냅니다(예:ALPHA
,BETA
,GA
).
예시
다음 예시에서는 플래그를 사용하여 조직 수준 역할에 권한을 추가하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --organization=123456789012 \ --add-permissions="storage.buckets.get,storage.buckets.list"
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkBwDN0lg= includedPermissions: - iam.roles.get - iam.roles.list - storage.buckets.get - storage.buckets.list name: organization/123456789012/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
다음 예시에서는 플래그를 사용하여 프로젝트 수준 역할에 권한을 추가하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --project=my-project \ --add-permissions="storage.buckets.get,storage.buckets.list"
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkBwDN0lg= includedPermissions: - iam.roles.get - iam.roles.list - storage.buckets.get - storage.buckets.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.patch
메서드는 프로젝트나 조직의 커스텀 역할을 업데이트합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
필수:
RESOURCE_TYPE
: 관리하려는 커스텀 역할을 포함하는 리소스 유형입니다.projects
또는organizations
값을 사용합니다.RESOURCE_ID
: 관리하려는 커스텀 역할을 포함하는 프로젝트 ID 또는 조직 ID입니다. 프로젝트 ID는my-project
같은 영숫자 문자열입니다. 조직 ID는123456789012
같은 숫자입니다.ROLE_NAME
:organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면organizations/123456789012/roles/myCompanyAdmin
입니다.
다음을 권장합니다.
ETAG
: 역할의 버전 식별자입니다. 다른 역할 변경사항을 덮어쓰지 않도록 하려면 이 필드를 포함하세요.
선택사항(다음 값 중 하나 이상 정의):
ROLE_TITLE
: 사람이 읽을 수 있는 역할 이름입니다. 예를 들면My Company Admin
입니다.ROLE_DESCRIPTION
: 역할에 대한 설명입니다. 예를 들면"The company admin role allows company admins to access important resources"
입니다.PERMISSION_1
및PERMISSION_2
: 역할에 포함하려는 권한입니다. 예를 들면storage.objects.update
입니다. 권한 이름에는 와일드 카드 문자(*
)를 사용할 수 없습니다.LAUNCH_STAGE
: 역할의 현재 실행 단계입니다. 이 필드에는EAP
,ALPHA
,BETA
,GA
,DEPRECATED
,DISABLED
값 중 하나가 포함될 수 있습니다.
HTTP 메서드 및 URL:
PATCH https://iam.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/roles
JSON 요청 본문:
{ "roleId": "ROLE_NAME", "title": "ROLE_TITLE", "description": "ROLE_DESCRIPTION", "includedPermissions": [ "PERMISSION_1", "PERMISSION_2" ], "stage": "LAUNCH-STAGE", "etag": "ETAG" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 역할 이름이 포함된 축약된 역할 정의, 업데이트한 필드, 현재 역할 버전을 식별하는 etag가 포함됩니다.
{ "name": "projects/test-project-1000092/roles/myCompanyAdmin", "title": "My Updated Company Admin", "includedPermissions": [ "storage.buckets.get", "storage.buckets.list" ], "stage": "BETA", "etag": "BwWoyDpAxBc=" }
커스텀 역할 사용 중지
커스텀 역할을 사용 중지하려면 출시 단계를
DISABLED
로 변경합니다. 역할을 사용 중지하면 역할과 관련된 역할 바인딩이 비활성화됩니다. 즉, 사용자에게 역할을 부여해도 효과가 없습니다.Console
Google Cloud Console에서 역할 페이지로 이동합니다.
페이지 상단에서 '프로젝트 선택' 드롭다운 목록을 클릭합니다.
조직 또는 프로젝트를 선택합니다.
커스텀 역할을 선택하고 사용 중지를 클릭합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
커스텀 역할을 중지하려면
gcloud iam roles update
명령어를 사용하여 실행 단계를DISABLED
로 설정합니다.기존 커스텀 역할 수정 섹션의 gcloud 탭의 설명대로 다음 두 가지 방법으로 기존 커스텀 역할을 업데이트할 수 있습니다.
-
업데이트된 역할 정의를 포함하는 YAML 파일 제공
-
플래그를 사용하여 업데이트된 역할 정의 지정
기존 커스텀 역할을 중지하는 가장 간편한 방법은
--stage
플래그를 사용하여DISABLED
로 설정하는 것입니다. 다음 명령어 중 하나를 실행합니다.-
조직 수준 역할을 중지하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID--organization=ORGANIZATION_ID \ --stage=DISABLED
-
프로젝트 수준 역할을 중지하려면 다음 명령어를 실행합니다.
gcloud iam roles update ROLE_ID --project=PROJECT_ID \ --stage=DISABLED
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
).
예시
다음 예시에서는 조직 수준 역할을 중지하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --organization=123456789012 \ --stage=DISABLED
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkB5NLIQw= includedPermissions: - iam.roles.get - iam.roles.list name: organization/123456789012/roles/myCompanyAdmin stage: DISABLED title: My Company Admin
다음 예시에서는 프로젝트 수준 역할을 중지하는 방법을 보여줍니다.
gcloud iam roles update myCompanyAdmin --project=my-project \ --stage=DISABLED
역할이 성공적으로 업데이트되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkB5NLIQw= includedPermissions: - iam.roles.get - iam.roles.list name: projects/my-project/roles/myCompanyAdmin stage: DISABLED title: My Company Admin
-
C++
역할의
stage
필드를DISABLED
로 업데이트합니다.C#
역할의
stage
필드를DISABLED
로 업데이트합니다.Go
역할의
stage
필드를DISABLED
로 업데이트합니다.Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.patch
메서드를 사용하면 역할을 중지하는DISABLED
로 커스텀 역할 실행 단계를 변경할 수 있습니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
RESOURCE_TYPE
: 관리하려는 커스텀 역할을 포함하는 리소스 유형입니다.projects
또는organizations
값을 사용합니다.RESOURCE_ID
: 관리하려는 커스텀 역할을 포함하는 프로젝트 ID 또는 조직 ID입니다. 프로젝트 ID는my-project
같은 영숫자 문자열입니다. 조직 ID는123456789012
같은 숫자입니다.ROLE_NAME
:organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면organizations/123456789012/roles/myCompanyAdmin
입니다.ETAG
: 역할의 버전 식별자입니다. 다른 역할 변경사항을 덮어쓰지 않도록 하려면 이 필드를 포함하세요.
HTTP 메서드 및 URL:
PATCH https://iam.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/roles
JSON 요청 본문:
{ "roleId": "ROLE_NAME", "stage": DISABLED, "etag": "ETAG" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{ "name": "projects/test-project-1000092/roles/myCompanyAdmin", "stage": "DISABLED", "etag": "BwWoyDpAxBc=" }
역할 나열
프로젝트 또는 조직에 생성된 모든 커스텀 역할을 나열할 수 있습니다.
Console
Google Cloud Console에서 역할 페이지로 이동합니다.
선택한 조직 또는 프로젝트의 모든 커스텀 역할이 페이지에 나열됩니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
프로젝트 또는 조직의 커스텀 역할과 사전 정의된 역할을 나열하려면
gcloud iam roles list
명령어를 사용합니다.-
조직 수준 커스텀 역할을 나열하려면 다음 명령어를 실행합니다.
gcloud iam roles list --organization=ORGANIZATION_ID
-
프로젝트 수준 커스텀 역할을 나열하려면 다음 명령어를 실행합니다.
gcloud iam roles list --project=PROJECT_ID
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
).
삭제된 역할을 나열하려면
--show-deleted
플래그를 지정하면 됩니다.다음 명령어를 실행하여 사전 정의된 역할을 나열합니다.
gcloud iam roles list
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.list
메서드는 프로젝트나 조직의 모든 커스텀 역할을 나열합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
RESOURCE_TYPE
: 관리하려는 커스텀 역할을 포함하는 리소스 유형입니다.projects
또는organizations
값을 사용합니다.RESOURCE_ID
: 관리하려는 커스텀 역할을 포함하는 프로젝트 ID 또는 조직 ID입니다. 프로젝트 ID는my-project
같은 영숫자 문자열입니다. 조직 ID는123456789012
같은 숫자입니다.ROLE_VIEW
: 선택사항. 반환된 역할에 포함할 정보입니다. 역할의 권한을 포함하려면 이 필드를FULL
로 설정합니다. 역할의 권한을 제외하려면 이 필드를BASIC
으로 설정합니다. 기본값은BASIC
입니다.PAGE_SIZE
: 선택사항. 응답에 포함할 역할 수입니다. 기본값은 300이고 최댓값은 1,000입니다. 역할 수가 페이지 크기보다 크면 다음 결과 페이지를 검색하기 위해 사용할 수 있는 페이지로 나누기 토큰이 응답에 포함됩니다.NEXT_PAGE_TOKEN
: 선택사항. 이 메서드의 이전 응답에서 반환된 페이지 나누기 토큰입니다. 지정된 경우 이전 응답이 종료된 위치에서 역할 목록이 시작됩니다.
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/roles?view=ROLE_VIEW&pageSize=PAGE_SIZE&pageToken=NEXT_PAGE_TOKEN
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{ "roles": [ { "name": "projects/my-project/roles/customRole1", "title": "First Custom Role", "description": "Created on: 2020-06-01", "etag": "BwWiPg2fmDE=" }, { "name": "projects/my-project/roles/customRole2", "title": "Second Custom Role", "description": "Created on: 2020-06-07", "etag": "BwWiuX53Wi0=" } ] }
맞춤 역할 삭제
프로젝트 또는 조직의 커스텀 역할을 삭제할 수 있습니다.
Console
Google Cloud Console에서 역할 페이지로 이동합니다.
삭제하려는 역할을 선택하고 페이지 상단에 있는 delete 삭제를 클릭합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
커스텀 역할을 삭제하려면
gcloud iam roles delete
명령어를 사용합니다.-
조직 수준 커스텀 역할을 삭제하려면 다음 명령어를 실행합니다.
gcloud iam roles delete ROLE_ID --organization=ORGANIZATION_ID
-
프로젝트 수준 커스텀 역할을 삭제하려면 다음 명령어를 실행합니다.
gcloud iam roles delete ROLE_ID --project=PROJECT_ID
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
).
--show-deleted
플래그가 포함되어 있지 않으면 역할이gcloud iam roles list
에 포함되지 않습니다. 삭제된 역할은list
응답에deleted: true
블록으로 표시됩니다. 예를 들면 다음과 같습니다.--- deleted: true description: My custom role description. etag: BwVkB5NLIQw= name: projects/my-project/roles/myCompanyAdmin title: My Company Admin ---
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.delete
메서드는 프로젝트나 조직의 커스텀 역할을 삭제합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
ROLE_NAME
:organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면organizations/123456789012/roles/myCompanyAdmin
입니다.
HTTP 메서드 및 URL:
DELETE https://iam.googleapis.com/v1/ROLE_NAME
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 삭제된 역할 정의가 포함됩니다.
{ "name": "projects/my-project/roles/myCompanyAdmin", "title": "My Company Admin", "description": "My custom role description.", "includedPermissions": [ "iam.roles.get", "iam.roles.list" ], "etag": "BwWiPg2fmDE=", "deleted": true }
역할이 삭제되면 해당 역할을 참조하는 모든 역할 결합이 허용 정책에 유지되지만 영향을 주지 않습니다. 삭제 후 7일 이내에 역할을 삭제 취소할 수 있습니다. 이 7일 동안 Google Cloud Console에는 해당 역할이 삭제된 것으로 표시됩니다. 또한 삭제된 역할을 프로그래매틱 방식으로 나열할 수도 있지만 기본적으로 생략됩니다.
7~14일이 지나면 역할은 영구 삭제되도록 예약됩니다. 이 시점에서 역할은 더 이상 조직당 커스텀 역할 300개 또는 프로젝트당 커스텀 역할 300개 한도에 포함되지 않습니다.
영구 삭제하는 데 30일이 소요됩니다. 30일 동안 역할과 역할에 연결된 모든 binding이 영구 삭제되며 이 기간 동안에는 같은 역할 ID로 새 역할을 만들 수 없습니다.
최초 삭제 요청 후 최대 44일까지 역할이 영구 삭제된 후 같은 역할 ID로 새 역할을 만들 수 있습니다.
커스텀 역할 삭제 취소
역할을 삭제 취소하면 이전 상태로 돌아갑니다.
역할은 7일 이내에만 삭제 취소할 수 있습니다. 7일이 지나면 언제든 역할이 영구적으로 삭제될 수 있고 이 역할을 참조하는 모든 역할 결합이 삭제됩니다.
Console
Google Cloud Console에서 역할 페이지로 이동합니다.
삭제 취소할 역할을 찾아서 행 끝의 더보기 아이콘을 클릭하고 삭제 취소를 클릭합니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
커스텀 역할을 삭제 취소하려면
gcloud iam roles undelete
명령어를 사용합니다.-
조직 수준 커스텀 역할을 삭제 취소하려면 다음 명령어를 실행합니다.
gcloud iam roles undelete ROLE_ID --organization=ORGANIZATION_ID
-
프로젝트 수준 커스텀 역할을 삭제 취소하려면 다음 명령어를 실행합니다.
gcloud iam roles undelete ROLE_ID --project=PROJECT_ID
각 자리표시자 값은 아래에 설명되어 있습니다.
-
ROLE_ID
는 역할 이름입니다(예:myCompanyAdmin
). -
ORGANIZATION_ID
는 조직의 숫자 ID입니다(예:123456789012
). -
PROJECT_ID
는 프로젝트 이름입니다(예:my-project
).
예시
다음 예시에서는 조직 수준 커스텀 역할을 삭제 취소하는 방법을 보여줍니다.
gcloud iam roles undelete myCompanyAdmin --organization=123456789012
역할이 성공적으로 삭제 취소되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkCAx9W6w= includedPermissions: - iam.roles.get - iam.roles.list name: organization/123456789012/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
다음 예시에서는 프로젝트 수준 커스텀 역할을 삭제 취소하는 방법을 보여줍니다.
gcloud iam roles undelete myCompanyAdmin --project=my-project
역할이 성공적으로 삭제 취소되면 다음과 비슷한 명령어 결과가 출력됩니다.
description: My custom role description. etag: BwVkCAx9W6w= includedPermissions: - iam.roles.get - iam.roles.list name: projects/my-project/roles/myCompanyAdmin stage: ALPHA title: My Company Admin
-
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
roles.undelete
메서드는 프로젝트나 조직의 커스텀 역할을 삭제 취소합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
ROLE_NAME
:organizations/
,projects/
또는roles/
프리픽스가 포함된 전체 역할 이름입니다. 예를 들면organizations/123456789012/roles/myCompanyAdmin
입니다.ETAG
: 역할의 버전 식별자입니다. 다른 역할 변경사항을 덮어쓰지 않도록 하려면 이 필드를 포함하세요.
HTTP 메서드 및 URL:
POST https://iam.googleapis.com/v1/ROLE_NAME:undelete
JSON 요청 본문:
{ "etag": "ETAG" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 삭제 취소된 역할 정의가 포함됩니다.
{ "name": "projects/my-project/roles/myCompanyAdmin", "title": "My Company Admin", "description": "My custom role description.", "includedPermissions": [ "iam.roles.get", "iam.roles.list" ], "etag": "BwWiPg2fmDE=" }
다음 단계
- 주 구성원에 역할을 부여하는 방법 알아보기
- 역할 권장사항을 사용하여 주 구성원의 권한을 축소하는 방법 알아보기
- 특정 조건이 충족되는 경우에만 역할을 부여하는 조건부 역할 부여 알아보기
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2024-12-23(UTC)