커스텀 역할 만들기 및 관리

이 페이지에서는 커스텀 역할을 만들고 관리하는 방법을 설명합니다.

시작하기 전에

  • 커스텀 역할을 만드는 데 필요한 권한 및 권장사항에 대해 설명하는 커스텀 역할 이해를 읽어보세요.
  • gcloud 명령줄 유틸리티를 사용하는 경우 버전 188.0.0 이상을 사용하는지 확인하세요. gcloud를 버전 188.0.0으로 업데이트하려면 다음 명령어를 실행합니다. gcloud components update --version 188.0.0

리소스에 사용 가능한 권한 보기

커스텀 역할을 만들기 전에 리소스에 적용할 수 있는 권한이 무엇인지 확인하는 것이 좋습니다. 리소스에 적용 가능한 모든 권한 및 계층구조에서 해당 리소스에 속하는 리소스를 확인하려면 gcloud 명령줄 도구, Cloud Console 또는 IAM API를 사용합니다. 예를 들어 조직 및 해당 조직의 프로젝트에 적용 가능한 모든 권한을 가져올 수 있습니다.

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 페이지 상단의 드롭다운에서 프로젝트를 선택합니다.
  3. 리소스의 관리자 역할 체크박스를 선택하여 해당 리소스에 적용 가능한 모든 권한을 확인합니다. 예를 들어 Compute 인스턴스 관리자 역할을 선택하면 오른쪽 패널에 Compute Engine 인스턴스에 적용 가능한 모든 권한이 표시됩니다.

GCLOUD 명령어

대상 리소스에 적용할 수 있는 권한 목록을 가져오려면 gcloud iam list-testable-permissions 명령어를 사용합니다. 반환되는 권한은 이 리소스 및 계층구조에서 해당 리소스에 속하는 모든 리소스에 커스텀 역할을 만드는 데 사용할 수 있는 권한입니다.

다음 예에서는 프로젝트 리소스에서 테스트 가능한 권한을 나열하는 방법을 보여줍니다.

gcloud iam list-testable-permissions [PROJECT-ID]

[PROJECT-ID]는 프로젝트의 ID이며, 여기에서 전체 리소스 이름의 형식은 //cloudresourcemanager.googleapis.com/projects/PROJECT-ID를 따릅니다(예: //cloudresourcemanager.googleapis.com/projects/my-project-id).

list-testable-permissions 명령어는 수백 개의 결과를 반환할 수 있습니다. 필터식을 지정하면 결과를 제한할 수 있습니다. 다음은 가능한 결과를 발췌한 예입니다.

---
name: appengine.applications.create
stage: GA
---
customRolesSupportLevel: TESTING
name: appengine.applications.disable
stage: GA
---
name: appengine.applications.get
stage: GA
---
customRolesSupportLevel: NOT_SUPPORTED
name: appengine.applications.list
onlyInPredefinedRoles: true
stage: GA
---
name: appengine.applications.update
stage: GA
---
name: appengine.instances.delete
stage: GA
---
name: appengine.instances.get
stage: GA
---

각 권한에 커스텀 역할 지원 여부가 표시됩니다. 지원되는 권한 및 지원되지 않는 권한의 전체 목록은 커스텀 역할 권한 지원을 참조하세요.

REST API

QueryTestablePermissions는 리소스에 적용할 수 있는 모든 권한을 반환합니다. 반환되는 권한은 이 리소스 및 계층구조에서 해당 리소스에 속하는 모든 리소스에 커스텀 역할을 만드는 데 사용할 수 있는 권한입니다. 이 요청의 필수 입력은 전체 리소스 이름(예: //cloudresourcemanager.googleapis.com/projects/my-project)뿐입니다.

호출자는 리소스의 권한 목록이 길 경우 필요에 따라 페이지 매김을 지원할 수 있습니다.

full_resource_name: '//cloudresourcemanager.googleapis.com/projects/my-project'`

오류 코드

오류 코드 상태 메시지
INVALID_ARGUMENT 0에서 100 사이여야 합니다.
INVALID_ARGUMENT 페이지 매김 토큰 인코딩이 잘못되었습니다.
INVALID_ARGUMENT 페이지 매김 토큰이 잘못되었습니다.
INVALID_ARGUMENT 지정된 컨테이너의 페이지 매김 토큰이 아닙니다.
INVALID_ARGUMENT 페이지 매김 토큰의 시작점이 잘못되었습니다.
INVALID_ARGUMENT 페이지 매김 토큰 쿠키가 잘못되었습니다.
INVALID_ARGUMENT 페이지 매김 토큰이 만료되었습니다.
INVALID_ARGUMENT {full_resource_name}을 지정해야 합니다.
INVALID_ARGUMENT {full_resource_name}//[a-z0-9.-]/.a-z0-9.-]/와 일치하지 않습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static IList<Permission> QueryTestablePermissions(
        string fullResourceName)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        var request = new QueryTestablePermissionsRequest
        {
            FullResourceName = fullResourceName
        };
        var response = service.Permissions.QueryTestablePermissions(request)
            .Execute();
        foreach (var p in response.Permissions)
        {
            Console.WriteLine(p.Name);
        }
        return response.Permissions;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// queryTestablePermissions lists testable permissions on a resource.
func queryTestablePermissions(w io.Writer, fullResourceName string) ([]*iam.Permission, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	request := &iam.QueryTestablePermissionsRequest{
		FullResourceName: fullResourceName,
	}
	response, err := service.Permissions.QueryTestablePermissions(request).Do()
	if err != nil {
		return nil, fmt.Errorf("Permissions.QueryTestablePermissions: %v", err)
	}
	for _, p := range response.Permissions {
		fmt.Fprintf(w, "Found permissions: %v", p.Name)
	}
	return response.Permissions, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def query_testable_permissions(resource):
    """Lists valid permissions for a resource."""

    # pylint: disable=no-member
    permissions = service.permissions().queryTestablePermissions(body={
        'fullResourceName': resource
    }).execute()['permissions']
    for p in permissions:
        print(p['name'])

역할 메타데이터 가져오기

커스텀 역할을 만들기 전에 사전 정의된 역할과 커스텀 역할의 메타데이터를 가져오는 것이 좋습니다. 역할 메타데이터로는 역할 ID 및 역할에 포함된 권한 등이 있습니다. Google Cloud Platform Console 또는 IAM API를 사용하여 메타데이터를 확인할 수 있습니다.

역할 메타데이터를 보려면 아래 방법 중 하나를 사용합니다.

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 페이지 상단의 드롭다운에서 조직 또는 프로젝트를 선택합니다.
  3. 권한을 확인할 역할의 체크박스를 하나 이상 선택합니다. 역할에 포함된 권한이 있는 경우 오른쪽 패널에 해당 권한이 표시됩니다.

역할 옆의 아이콘은 커스텀 역할(공장 모양 아이콘)인지 아니면 사전 정의된 역할(6각형 아이콘)인지를 나타냅니다.

역할 아이콘

특정 권한을 포함하는 역할을 모두 찾으려는 경우 역할 목록 상단의 필터 상자에 권한 이름을 입력합니다.

GCLOUD 명령어

사전 정의된 역할과 커스텀 역할의 메타데이터를 확인하려면 gcloud iam roles describe 명령어를 사용합니다.

사전 정의된 역할의 메타데이터를 확인하려면 다음 gcloud 명령어를 실행합니다.

gcloud iam roles describe [ROLE-NAME]

[ROLE-NAME]은 역할의 이름(예: roles/viewer)입니다.

다음 예에서는 사전 정의된 역할인 roles/iam.roleViewerdescribe 명령어를 실행한 출력을 보여줍니다.

gcloud iam roles describe roles/iam.roleViewer

description: Read access to all custom roles in the project.
etag: AA==
includedPermissions:
- iam.roles.get
- iam.roles.list
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
name: roles/iam.roleViewer
stage: GA
title: Role Viewer

커스텀 역할의 메타데이터를 확인하려면 우선 커스텀 역할이 조직 수준에서 만들어졌는지 아니면 프로젝트 수준에서 만들어졌는지 확인합니다. 커스텀 역할이 조직 수준에서 만들어진 경우 다음 gcloud 명령어를 실행합니다.

gcloud iam roles describe --organization [ORGANIZATION-ID] [ROLE-NAME]

[ORGANIZATION-ID]는 조직의 ID이며 1234567 형식을 따릅니다. [ROLE-NAME]은 커스텀 역할의 이름(예: myCustomRole)입니다.

프로젝트 수준 커스텀 역할의 메타데이터를 확인하려면 다음 gcloud 명령어를 실행합니다.

gcloud iam roles describe --project [PROJECT-ID] [ROLE-NAME]

[PROJECT-ID]는 프로젝트의 ID(예: my-project-id)입니다. [ROLE-NAME]은 커스텀 역할의 이름(예: myCustomRole)입니다.

자세한 내용은 gcloud iam roles describe 참조 문서를 확인하세요.

REST API

확인할 역할의 이름을 알고 있는 경우 roles.get 메서드를 사용하여 커스텀 역할을 가져옵니다. 역할 이름을 모르는 경우 roles.list 메서드를 사용하여 조직 또는 프로젝트의 모든 커스텀 역할을 나열합니다.

GetRole(),을 호출하려면 GetRoleRequest에 다음 필드를 설정합니다.

  • 역할의 이름(예: roles/{ROLE-NAME} 또는 organizations/{ORGANIZATION-ID}/roles/{ROLE-NAME})

ListRoles()를 호출하려면 ListRolesRequest에 다음 필드를 설정합니다.

  • 모든 커스텀 역할을 가져올 상위 항목(예: organizations/{ORGANIZATION-ID} 또는 projects/{PROJECT-ID})

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED {path}의 역할을 가져올 권한이 없습니다.
NOT_FOUND 이름이 {role}인 역할을 찾을 수 없습니다.
INVALID_ARGUMENT 역할 이름은 roles/{role} 또는 organizations/{organization-id}/roles/{role} 형식이어야 합니다.
PERMISSION_DENIED {path}의 역할을 나열할 권한이 없습니다.
INVALID_ARGUMENT 상위 {path}가 잘못되었습니다. 상위 항목은 organizations/{organization-id} 형식이거나 비어 있어야 합니다.
INVALID_ARGUMENT 역할 보기가 잘못되었습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static Role GetRole(string name)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        var role = service.Roles.Get(name).Execute();
        Console.WriteLine(role.Name);
        Console.WriteLine(String.Join(", ", role.IncludedPermissions));
        return role;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// getRole gets role metadata.
func getRole(w io.Writer, name string) (*iam.Role, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	role, err := service.Roles.Get(name).Do()
	if err != nil {
		return nil, fmt.Errorf("Roles.Get: %v", err)
	}
	fmt.Fprintf(w, "Got role: %v\n", role.Name)
	for _, permission := range role.IncludedPermissions {
		fmt.Fprintf(w, "Got permission: %v\n", permission)
	}
	return role, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def get_role(name):
    """Gets a role."""

    # pylint: disable=no-member
    role = service.roles().get(name=name).execute()
    print(role['name'])
    for permission in role['includedPermissions']:
        print(permission)

커스텀 역할 만들기

커스텀 역할을 만들려면 호출자에게 iam.roles.create 권한이 필요합니다. 기본적으로 프로젝트 또는 조직의 소유자는 이 권한을 가지므로 커스텀 역할을 만들고 관리할 수 있습니다.

조직 관리자를 비롯하여 소유자가 아닌 사용자에게는 조직 역할 관리자 역할 또는 IAM 역할 관리자 역할을 할당해야 합니다.

Console

커스텀 역할을 처음부터 새로 만드는 방법은 다음과 같습니다.

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 조직 드롭다운에서 조직을 선택합니다.
  3. 역할 만들기를 클릭합니다.
  4. 역할의 이름, 제목, 설명을 입력합니다.
  5. 권한 추가를 클릭합니다.
  6. 역할에 포함할 권한을 선택하고 권한 추가를 클릭합니다. 모든 서비스모든 유형 드롭다운을 사용하여 서비스 및 유형에 따라 권한을 필터링하고 선택합니다.

기존의 선별된 역할을 기반으로 커스텀 역할을 만드는 방법은 다음과 같습니다.

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 조직 드롭다운에서 조직을 선택합니다.
  3. 새 커스텀 역할을 만드는 데 사용할 역할을 선택합니다.
  4. 기존 역할에서 역할 만들기를 클릭합니다.
  5. 역할의 이름, 제목, 설명을 입력합니다.
  6. 역할에서 제외할 권한을 선택 해제합니다.
  7. 권한 추가를 클릭하여 권한을 포함합니다.
  8. 만들기를 클릭합니다.

GCLOUD 명령어

새 커스텀 역할을 만들려면 gcloud iam roles create 명령어를 사용합니다. 이 명령을 두 가지 방법으로 사용할 수 있습니다.

  • 역할 정의를 포함하는 YAML 파일 제공
  • 플래그를 사용하여 역할 정의 지정

커스텀 역할을 만들 때 --organization [ORGANIZATION-ID] 또는 --project [PROJECT-ID] 플래그를 사용하여 조직 수준에 적용되는지 아니면 프로젝트 수준에 적용되는지를 지정해야 합니다. 아래의 각 예에서는 프로젝트 수준으로 커스텀 역할을 만듭니다.

YAML 파일을 사용하여 커스텀 역할 만들기

커스텀 역할의 정의를 포함하는 YAML 파일을 만듭니다. 파일의 구조는 다음과 같아야 합니다.

title: [ROLE-TITLE]
description: [ROLE-DESCRIPTION]
stage: [LAUNCH-STAGE]
includedPermissions:
- [PERMISSION-1]
- [PERMISSION-2]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-TITLE]은 역할의 별칭입니다(예: "Role Viewer").
  • [ROLE-DESCRIPTION]은 역할에 대한 간단한 설명입니다(예: "My custom role description").
  • [LAUNCH-STAGE]는 출시 주기에서 역할의 단계(예: ALPHA, BETA 또는 GA)를 나타냅니다.
  • includedPermissions는 커스텀 역할에 포함할 하나 이상의 권한(예: - iam.roles.get) 목록을 지정합니다.

YAML 파일을 저장하고 다음 gcloud 명령어를 실행합니다.

gcloud iam roles create [ROLE-ID] --project [PROJECT-ID] \
--file [YAML_FILE-PATH]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다.
  • [YAML_FILE-PATH]는 커스텀 역할 정의를 포함하는 YAML 파일의 위치를 가리키는 경로입니다.

다음은 역할 정의를 만드는 방법을 보여주는 YAML 파일의 예입니다.

title: "Role Viewer"
description: "My custom role description."
stage: "ALPHA"
includedPermissions:
- iam.roles.get
- iam.roles.list

다음 예에서는 YAML 파일을 사용하여 역할을 만드는 방법을 보여줍니다.

gcloud iam roles create viewer --project my-project-id \
--file my-role-definition.yaml

역할이 정상적으로 생성되면 다음과 같은 응답이 반환됩니다.

Created role [viewer].
description: My custom role description.
etag: BwVkBX0sQD0=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

플래그를 사용하여 커스텀 역할 만들기

다음 gcloud 명령을 실행합니다.

gcloud iam roles create [ROLE-ID] --project [PROJECT-ID] \
--title [ROLE-TITLE] --description [ROLE-DESCRIPTION] \
--permissions [PERMISSIONS-LIST] --stage [LAUNCH-STAGE]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트 이름입니다(예: my-project-id).
  • [ROLE-TITLE]은 역할의 별칭입니다(예: "Role Viewer").
  • [ROLE-DESCRIPTION]은 역할에 대한 간단한 설명입니다(예: "My custom role description.").
  • [PERMISSIONS-LIST]는 커스텀 역할에 포함할 권한의 쉼표로 구분된 목록을 포함합니다. 예를 들면 iam.roles.get,iam.roles.list와 같습니다.
  • [LAUNCH-STAGE]는 출시 주기에서 역할의 단계(예: ALPHA, BETA 또는 GA)를 나타냅니다.

다음 예에서는 플래그를 사용하여 역할을 만드는 방법을 보여줍니다.

gcloud iam roles create viewer --project my-project-id \
--title "Role Viewer" --description "My custom role description." \
--permissions iam.roles.get,iam.roles.list --stage ALPHA

역할이 정상적으로 생성되면 다음과 같은 응답이 반환됩니다.

Created role [viewer].
description: My custom role description.
etag: BwVkBX0sQD0=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

REST API

새 커스텀 역할을 만들려면 create 메서드를 사용합니다.

요청에 다음과 같은 필수 매개변수를 설정합니다.

  • 새 커스텀 역할에 사용할 role_id(예: appengine.myCustomStorageAuditor)
  • 커스텀 역할에 대한 설명(예: '이 역할은 저장소 리소스, 용량, 액세스 정책을 나열할 액세스 권한을 부여합니다.')
  • 이 역할에 연결할 권한 목록
  • 역할의 이름 필드를 설정하면 오류가 발생합니다.

다음과 같은 선택적 매개변수도 설정하는 것이 좋습니다.

  • 커스텀 역할의 제목(예: '예제 커스텀 역할 편집자')
  • stage 값(예: GA)

stage에 사용할 수 있는 값은 ALPHA, BETA, GA, DEPRECATED 또는 DISABLED입니다.

일부 사전 정의된 역할에는 지원 중단된 권한 또는 커스텀 역할에서 허용되지 않는 권한이 포함되어 있습니다. 커스텀 역할을 만드는 데 사용한 사전 정의된 역할에 지원이 중단되었거나 제한된 권한이 하나라도 포함된 경우 작업이 실패합니다.

parent: '[PARENT-NAME]'
role_id: '[ROLE-ID]'
role {
    name: ''
    title: '[ROLE-TITLE]'
    description: '[ROLE-DESCRIPTION]'
    included_permissions: '[PERMISSION]'
    included_permissions: '[PERMISSION]'
})",

여기에서

  • [PARENT-NAME]은 커스텀 역할을 만들 조직의 이름(예: organizations/0000000000000001) 또는 커스텀 역할을 만들 프로젝트 ID(예: projects/my-project)입니다.
  • [ROLE-ID]는 커스텀 역할의 ID입니다. 예를 들면 appengine.myCustomStorageAuditor.와 같습니다.
  • [ROLE-TITLE]은 역할의 제목입니다. 예를 들면 Storage Auditor와 같습니다.
  • [ROLE-DESCRIPTION]은 역할의 목적에 대한 설명입니다.
  • [PERMISSION]은 커스텀 역할에 포함할 권한입니다.

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED {parent}에 역할을 만들 권한이 없습니다.
ALREADY_EXISTS 이름이 {role-id}인 역할이 {parent}에 이미 있습니다.
INVALID_ARGUMENT 상위 {parent}가 잘못되었습니다. 상위 항목은 organizations/{organization-id} 형식이어야 합니다.
INVALID_ARGUMENT role_id {role-id}가 잘못되었습니다. {pattern} 패턴과 일치하지 않습니다.
INVALID_ARGUMENT 역할의 권한 수가 최댓값인 {max}보다 큽니다.
INVALID_ARGUMENT {stage} role.stage가 잘못되었습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static Role CreateRole(string name, string projectId, string title,
        string description, IList<string> permissions, string stage)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        var role = new Role
        {
            Title = title,
            Description = description,
            IncludedPermissions = permissions,
            Stage = stage
        };
        var request = new CreateRoleRequest
        {
            Role = role,
            RoleId = name
        };
        role = service.Projects.Roles.Create(request,
            "projects/" + projectId).Execute();
        Console.WriteLine("Created role: " + role.Name);
        return role;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// createRole creates a custom role.
func createRole(w io.Writer, projectID, name, title, description, stage string, permissions []string) (*iam.Role, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	request := &iam.CreateRoleRequest{
		Role: &iam.Role{
			Title:               title,
			Description:         description,
			IncludedPermissions: permissions,
			Stage:               stage,
		},
		RoleId: name,
	}
	role, err := service.Projects.Roles.Create("projects/"+projectID, request).Do()
	if err != nil {
		return nil, fmt.Errorf("Projects.Roles.Create: %v", err)
	}
	fmt.Fprintf(w, "Created role: %v", role.Name)
	return role, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def create_role(name, project, title, description, permissions, stage):
    """Creates a role."""

    # pylint: disable=no-member
    role = service.projects().roles().create(
        parent='projects/' + project,
        body={
            'roleId': name,
            'role': {
                'title': title,
                'description': description,
                'includedPermissions': permissions,
                'stage': stage
            }
        }).execute()

    print('Created role: ' + role['name'])
    return role

기존 커스텀 역할 수정

읽기-수정-쓰기

리소스의 커스텀 역할과 같은 메타데이터를 업데이트하는 일반적인 패턴은 현재 상태를 읽고, 데이터를 로컬에서 업데이트하고, 수정된 데이터를 전송하여 기록하는 것입니다. 이 패턴에서는 서로 독립된 둘 이상의 프로세스가 동시에 시퀀스를 시도할 경우 충돌이 발생할 수 있습니다. 예를 들어 프로젝트 소유자 두 명이 동시에 상충하는 역할 변경을 시도할 경우 변경이 일부 실패할 수 있습니다. Cloud IAM은 커스텀 역할에서 etag 속성을 사용하여 이 문제를 해결합니다. 이 속성은 마지막 요청 이후에 커스텀 역할이 변경되었는지 여부를 확인하는 데 사용됩니다. etag 값과 함께 Cloud IAM에 요청을 보내면 Cloud IAM은 요청의 etag 값을 커스텀 역할에 연결된 기존 etag 값과 비교합니다. etag 값이 일치하는 경우에만 변경사항이 기록됩니다.

역할을 업데이트하려면 우선 roles.get()을 사용하여 역할을 가져오고, 역할을 업데이트하고, roles.patch()를 사용하여 업데이트된 역할을 기록합니다. roles.get()의 해당 역할에 etag 값이 있는 경우에만 역할을 설정할 때 etag 값을 사용합니다.

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 조직 드롭다운에서 조직을 선택합니다.
  3. 커스텀 역할을 클릭합니다.
  4. 역할 수정을 클릭합니다.
  5. 권한 추가를 클릭하여 역할에 새 권한을 추가합니다.
  6. 권한을 선택 해제하여 역할에서 권한을 삭제합니다.
  7. 업데이트를 클릭하여 수정한 역할을 저장합니다.

GCLOUD 명령어

커스텀 역할을 업데이트하려면 gcloud iam roles update 명령어를 사용합니다. 이 명령을 두 가지 방법으로 사용할 수 있습니다.

  • 업데이트된 역할 정의를 포함하는 YAML 파일 제공
  • 플래그를 사용하여 업데이트된 역할 정의 지정

커스텀 역할을 업데이트할 때 --organization [ORGANIZATION-ID] 또는 --project [PROJECT-ID] 플래그를 사용하여 조직 수준에 적용되는지 아니면 프로젝트 수준에 적용되는지를 지정해야 합니다. 아래의 각 예에서는 프로젝트 수준으로 커스텀 역할을 만듭니다.

YAML 파일을 사용하여 커스텀 역할 업데이트:

다음 gcloud 명령을 실행하여 역할의 현재 정의를 가져옵니다.

gcloud iam roles describe [ROLE-ID] --project [PROJECT-ID]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]는 업데이트할 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다.

describe 명령어는 역할의 정의를 반환하며, 역할의 현재 버전을 고유하게 식별하는 etag 값을 포함합니다. 동시에 발생하는 역할 변경사항을 덮어쓰지 않도록 업데이트된 역할 정의에 etag 값을 제공해야 합니다.

describe 명령은 다음과 같은 출력을 반환합니다.

description: [ROLE-DESCRIPTION]
etag: [ETAG-VALUE]
includedPermissions:
- [PERMISSION-1]
- [PERMISSION-2]
name: [ROLE-ID]
stage: [LAUNCH-STAGE]
title: [ROLE-TITLE]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-DESCRIPTION]은 역할에 대한 간단한 설명(예: "My custom role description")입니다.
  • [ETAG-VALUE]는 역할의 현재 버전에 대한 고유 식별자(예: BwVkBkbfr70=)입니다.
  • includedPermissions는 커스텀 역할에 포함할 하나 이상의 권한(예: - iam.roles.get) 목록을 지정합니다.
  • [ROLE-ID]는 역할의 계층적 ID로서, 역할이 프로젝트 수준에서 생성되었는지 아니면 조직 수준에서 생성되었는지에 따라 다릅니다. 예를 들면 projects/my-project-id/roles/viewer와 같습니다.
  • [LAUNCH-STAGE]는 출시 주기에서 역할의 단계(예: ALPHA, BETA 또는 GA)를 나타냅니다.
  • [ROLE-TITLE]은 역할의 별칭(예: "Role Viewer")입니다.

역할을 업데이트하려면 출력된 역할 정의를 YAML 파일에 포함하거나 원본 YAML 파일을 출력된 etag 값으로 업데이트합니다.

다음은 describe 명령의 출력을 포함하고 Cloud Storage 권한 두 개를 추가하는 YAML 파일의 예입니다.

description: My custom role description.
etag: BwVkBkbfr70=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

YAML 파일을 저장하고 다음 gcloud 명령을 실행합니다.

gcloud iam roles update [ROLE-ID] --project [PROJECT-ID] \
--file [YAML_FILE-PATH]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]는 업데이트할 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다.
  • [YAML_FILE-PATH]는 업데이트된 커스텀 역할 정의를 포함하는 YAML 파일의 위치를 가리키는 경로입니다.

다음 예에서는 YAML 파일을 사용하여 역할을 업데이트하는 방법을 보여줍니다.

gcloud iam roles update viewer --project my-project-id \
--file my-role-definition.yaml

역할이 정상적으로 업데이트되면 다음과 같은 응답이 반환됩니다.

description: My custom role description.
etag: BwVkBwDN0lg=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

플래그를 사용하여 커스텀 역할 업데이트:

해당 플래그를 사용하여 역할 정의의 각 부분을 업데이트할 수 있습니다. 사용 가능한 모든 플래그의 목록은 gcloud iam roles update 항목을 참조하세요.

다음 플래그를 사용하여 권한을 추가하거나 삭제할 수 있습니다.

  • --add-permissions [PERMISSIONS]: 역할에 하나 이상의 쉼표로 구분된 권한을 추가합니다.
  • --remove-permissions [PERMISSIONS]: 역할에서 하나 이상의 쉼표로 구분된 권한을 삭제합니다.

다른 방법으로, --permissions [PERMISSIONS] 플래그를 사용하고 기존 권한 목록을 대체할 쉼표로 구분된 권한 목록을 제공하여 간편하게 새 권한을 지정할 수 있습니다.

역할 정의의 다른 항목을 업데이트하려면 다음 gcloud 명령을 실행합니다.

gcloud iam roles update [ROLE-ID] --project [PROJECT-ID] \
--title [ROLE-TITLE] --description [ROLE-DESCRIPTION] \
--stage [LAUNCH-STAGE]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트 이름입니다(예: my-project-id).
  • [ROLE-TITLE]은 역할의 별칭입니다(예: "Role Viewer").
  • [ROLE-DESCRIPTION]은 역할에 대한 간단한 설명입니다(예: "My custom role description.").
  • [LAUNCH-STAGE]는 출시 주기에서 역할의 단계(예: ALPHA, BETA 또는 GA)를 나타냅니다.

다음 예에서는 플래그를 사용하여 역할에 권한을 추가하는 방법을 보여줍니다.

gcloud iam roles update viewer --project my-project-id \
--add-permissions storage.buckets.get,storage.buckets.list

역할이 정상적으로 업데이트되면 다음과 같은 응답이 반환됩니다.

description: My custom role description.
etag: BwVkBwDN0lg=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

REST API

기존 커스텀 역할을 수정하려면 Role UpdateRole(UpdateRoleRequest) 메서드를 사용합니다.

수정할 커스텀 역할의 ID를 알고 있는 경우 roles.get() 메서드를 사용하여 역할을 가져온 후 roles.patch()를 사용하여 역할을 업데이트합니다.

수정할 커스텀 역할의 ID를 모르는 경우 ListRoles()를 사용하여 모든 역할을 나열한 후 역할을 찾습니다. roles.list()는 리소스를 참조하는 모든 역할의 목록을 반환합니다. 그런 다음 roles.patch()를 사용하여 역할을 업데이트합니다.

roles.patch()에 다음과 같은 필수 매개변수를 설정합니다.

  • 역할의 이름(예: organizations/{ORGANIZATION-ID}/roles/{ROLE-ID})

필요한 경우 update_mask 필드를 설정하여 이후에 업데이트될 수 있는 필드를 지정합니다.

name: '[ROLE-NAME]'
role {
    name: '[ROLE-NAME]'
    title: '[ROLE-TITLE]'`
    description: '[ROLE-DESCRIPTION]'
    included_permissions: '[PERMISSION]'
    included_permissions: '[PERMISSION]'
})"

여기에서

  • [ROLE-NAME]은 역할의 이름입니다. 예를 들면 organizations/123456/roles/appengine.customRoleEditor.와 같습니다. roles/{ROLE-NAME}, organizations/{ORGANIZATION-ID}/roles/{ROLE-NAME} 또는 projects/{PROJECT-ID}/roles/{ROLE-NAME} 형식일 수 있습니다.

  • [ROLE-TITLE]은 역할의 제목입니다. 예를 들면 New custom editor.와 같습니다.

  • [ROLE-DESCRIPTION]은 역할에 대한 설명입니다. 예를 들면 '편집자 역할에 대한 새로운 상세 설명'과 같습니다.

  • [PERMISSION]은 역할에 포함할 권한입니다. 예를 들면 storage.objects.update와 같습니다.

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED 역할을 업데이트할 권한이 없습니다.
INVALID_ARGUMENT 사전 정의된 역할은 업데이트할 수 없습니다.
INVALID_ARGUMENT 요청의 이름([ROLE-NAME])과 역할의 이름([ROLE-NAME])이 일치해야 합니다.
INVALID_ARGUMENT [PERMISSION] 권한이 잘못되었습니다.
ABORTED 정책이 동시에 변경되어 etag가 일치하지 않습니다. 재시도 간격을 늘려가면서 전체 읽기-수정-쓰기를 다시 시도하세요.

일부 사전 정의된 역할에는 지원 중단된 권한 또는 커스텀 역할에서 허용되지 않는 권한이 포함되어 있습니다. 커스텀 역할을 만드는 데 사용한 사전 정의된 역할에 지원이 중단되었거나 제한된 권한이 하나라도 포함된 경우 작업이 실패합니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static Role EditRole(string name, string projectId, string newTitle,
        string newDescription, IList<string> newPermissions, string newStage)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });
        // First, get a Role using List() or Get().
        string resource = $"projects/{projectId}/roles/{name}";
        var role = service.Projects.Roles.Get(resource).Execute();
        // Then you can update its fields.
        role.Title = newTitle;
        role.Description = newDescription;
        role.IncludedPermissions = newPermissions;
        role.Stage = newStage;
        role = service.Projects.Roles.Patch(role, resource).Execute();
        Console.WriteLine("Updated role: " + role.Name);
        return role;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// editRole modifies a custom role.
func editRole(w io.Writer, projectID, name, newTitle, newDescription, newStage string, newPermissions []string) (*iam.Role, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	resource := "projects/" + projectID + "/roles/" + name
	role, err := service.Projects.Roles.Get(resource).Do()
	if err != nil {
		return nil, fmt.Errorf("Projects.Roles.Get: %v", err)
	}
	role.Title = newTitle
	role.Description = newDescription
	role.IncludedPermissions = newPermissions
	role.Stage = newStage
	role, err = service.Projects.Roles.Patch(resource, role).Do()
	if err != nil {
		return nil, fmt.Errorf("Projects.Roles.Patch: %v", err)
	}
	fmt.Fprintf(w, "Updated role: %v", role.Name)
	return role, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def edit_role(name, project, title, description, permissions, stage):
    """Creates a role."""

    # pylint: disable=no-member
    role = service.projects().roles().patch(
        name='projects/' + project + '/roles/' + name,
        body={
            'title': title,
            'description': description,
            'includedPermissions': permissions,
            'stage': stage
        }).execute()

    print('Updated role: ' + role['name'])
    return role

커스텀 역할 사용 중지

커스텀 역할을 사용 중지할 수 있습니다. 역할을 사용 중지하면 역할과 관련된 정책 바인딩이 비활성화됩니다. 즉, 사용자에게 역할을 부여해도 역할의 권한이 부여되지 않습니다.

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 페이지 상단에서 '프로젝트 선택' 드롭다운을 클릭합니다.
  3. 조직 또는 프로젝트를 선택합니다.
  4. 커스텀 역할을 선택하고 사용 중지를 클릭합니다.

GCLOUD 명령어

커스텀 역할을 사용 중지하려면 gcloud iam roles update 명령어를 사용하여 시작 단계를 DISABLED로 설정합니다. 기존 커스텀 역할 수정 섹션의 gcloud 탭에 있는 설명대로 다음 두 가지 방법으로 기존 커스텀 역할을 업데이트할 수 있습니다.

  • 업데이트된 역할 정의를 포함하는 YAML 파일 제공
  • 플래그를 사용하여 업데이트된 역할 정의 지정

기존 커스텀 역할을 사용 중지하는 가장 쉬운 방법은 --stage 플래그를 사용하고 DISABLED로 설정하는 것입니다. 다음 gcloud 명령을 실행하면 됩니다.

gcloud iam roles update [ROLE-ID] --project [PROJECT-ID] \
--stage DISABLED

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다. 역할이 1234567과 같이 조직 수준에서 생성된 경우 --organization [ORGANIZATION-ID] 플래그를 사용할 수도 있습니다.

다음 예에서는 역할을 사용 중지하는 방법을 보여줍니다.

gcloud iam roles update viewer --project my-project-id \
--stage DISABLED

역할이 정상적으로 업데이트되면 다음과 같은 응답이 반환됩니다.

description: My custom role description.
etag: BwVkB5NLIQw=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: DISABLED
title: Role Viewer

REST API

커스텀 역할을 사용 중지하려면 roles.patch() 메서드를 사용합니다.

사용 중지할 커스텀 역할의 ID를 알고 있는 경우 roles.get() 메서드를 사용하여 역할을 가져옵니다. 역할의 stage 속성을 DISABLED로 변경하고 roles.patch() 메서드를 호출하여 역할을 업데이트합니다.

사용 중지할 커스텀 역할의 역할 ID를 모르는 경우 roles.list()를 사용하여 모든 역할을 나열한 후 역할을 찾습니다. roles.list()는 리소스를 참조하는 모든 역할 목록을 반환합니다. 사용 중지할 역할을 찾고 rolelaunchstage 속성을 DISABLED,로 변경한 후 roles.patch() 메서드를 호출하여 역할을 업데이트합니다.

역할을 사용 중지하려면 다음 필드를 설정합니다.

  • 이름을 역할의 전체 이름(organizations/{organization-id}/roles/{role}.)으로 설정합니다.
  • Role,에서 stageDISABLED.로 설정합니다.
  • update_mask를 'paths: stage'로 설정합니다.

역할을 다시 사용 설정하려면 역할을 사용 중지하는 위 프로세스를 따르면서 역할의 stage 속성을 ALPHA, BETA 또는 GA로 설정합니다.

name: 'organizations/123456/roles/appengine.customRoleEditor'
role {
    name: 'organizations/123456/roles/appengine.customRoleEditor'`
    stage: 'DISABLED'
}
update_mask {
    paths:  stage
}

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED 역할을 업데이트할 권한이 없습니다.
INVALID_ARGUMENT 선별된 역할은 업데이트할 수 없습니다.
INVALID_ARGUMENT 요청의 이름([ROLE-NAME])과 역할의 이름([ROLE-NAME])이 일치해야 합니다.
INVALID_ARGUMENT [PERMISSION] 권한이 잘못되었습니다.
ABORTED 정책이 동시에 변경되었습니다. 재시도 간격을 늘려가면서 전체 읽기-수정-쓰기를 다시 시도하세요.

C#

역할의 stage 필드를 DISABLED업데이트합니다.

Go

역할의 stage 필드를 DISABLED업데이트합니다.

Python

역할의 stage 필드를 DISABLED업데이트합니다.

역할 나열

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기


    프로젝트의 모든 커스텀 역할이 페이지에 나열됩니다.

GCLOUD 명령어

프로젝트 또는 조직의 커스텀 역할과 사전 정의된 역할을 나열하려면 gcloud iam roles list 명령어를 사용합니다.

다음 gcloud 명령어를 실행하면서 프로젝트 수준 또는 조직 수준 커스텀 역할을 지정하여 커스텀 역할을 나열합니다.

gcloud iam roles list --project [PROJECT-ID]

[PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다. 역할이 1234567과 같이 조직 수준에서 생성된 경우 --organization [ORGANIZATION-ID] 플래그를 사용할 수도 있습니다.

--show-deleted 플래그를 지정하여 삭제된 역할을 나열할 수도 있습니다.

다음 gcloud 명령어를 실행하여 사전 정의된 역할을 나열합니다.

gcloud iam roles list

REST API

roles.list() 메서드를 사용하면 조직 또는 프로젝트에서 정의된 모든 커스텀 역할을 나열할 수 있습니다. 또한 요청의 상위 항목 필드를 ""로 설정하여 사전 정의된 역할을 나열할 수 있습니다.

roles.list()를 호출하려면 요청에 다음 필드를 설정합니다.

  • 모든 커스텀 역할을 가져오는 데 사용할 상위 항목. 예를 들면 다음과 같습니다.
    • projects/{PROJECT-ID}
    • organizations/{ORGANIZATION-ID}

각 역할의 권한을 결과에 포함하려면 view 필드를 RoleView::FULL로 설정합니다.

최근에 삭제된 역할을 결과에 포함하려면 showDeleted 필드를 true로 설정합니다.

선별된 모든 역할을 나열하려면 상위 항목 필드를 "" (빈 문자열)로 설정합니다.

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED {path}의 역할을 나열할 권한이 없습니다.
INVALID_ARGUMENT 상위 {path}가 잘못되었습니다. 상위 항목은 organizations/{organization-id} 또는 projects/{project-id} 형식이거나 비어 있어야 합니다.
INVALID_ARGUMENT 역할 보기가 잘못되었습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static IList<Role> ListRoles(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        var response = service.Projects.Roles.List("projects/" + projectId)
            .Execute();
        foreach (var role in response.Roles)
        {
            Console.WriteLine(role.Name);
        }
        return response.Roles;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// listRoles lists a project's roles.
func listRoles(w io.Writer, projectID string) ([]*iam.Role, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	response, err := service.Projects.Roles.List("projects/" + projectID).Do()
	if err != nil {
		return nil, fmt.Errorf("Projects.Roles.List: %v", err)
	}
	for _, role := range response.Roles {
		fmt.Fprintf(w, "Listing role: %v\n", role.Name)
	}
	return response.Roles, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def list_roles(project_id):
    """Lists roles."""

    # pylint: disable=no-member
    roles = service.roles().list(
        parent='projects/' + project_id).execute()['roles']
    for role in roles:
        print(role['name'])

커스텀 역할 삭제

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 삭제할 역할을 선택하고 페이지 상단의 휴지통 아이콘을 클릭합니다.

GCLOUD 명령어

커스텀 역할을 삭제하려면 gcloud iam roles delete 명령어를 사용합니다. 역할이 새 IAM 정책 바인딩을 만드는 데 사용할 수 없도록 일시정지됩니다.

다음 gcloud 명령을 실행하여 커스텀 역할을 삭제합니다.

gcloud iam roles delete [ROLE-ID] --project [PROJECT-ID]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다. 역할이 1234567과 같이 조직 수준에서 생성된 경우 --organization [ORGANIZATION-ID] 플래그를 사용할 수도 있습니다.

--show-deleted 플래그를 포함하지 않으면 역할이 gcloud iam roles list에 포함되지 않습니다. 삭제된 역할은 list 응답의 deleted: true 블록에 다음과 같이 표시됩니다.

---
deleted: true
description: My custom role description.
etag: BwVkB5NLIQw=
name: projects/my-project-id/roles/viewer
title: Role Viewer
---

REST API

roles.delete는 역할을 삭제합니다. 역할이 새 IAM 정책 바인딩을 만드는 데 사용할 수 없도록 일시정지됩니다.

name은 다음 형식일 수 있습니다.

  • organizations/{ORGANIZATION-ID}/roles/{ROLE-NAME}
  • projects/{PROJECT-ID}/roles/{ROLE-NAME}

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED {path}의 역할을 삭제할 권한이 없습니다.
FAILED_PRECONDITION {ROLE-NAME} 역할은 이미 삭제되었으므로 삭제할 수 없습니다.
FAILED_PRECONDITION 예약된 {ROLE-NAME} 역할은 삭제할 수 없습니다.
INVALID_ARGUMENT 선별된 역할은 삭제 상태일 수 없습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static void DeleteRole(string name, string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        service.Projects.Roles.Delete(
            $"projects/{projectId}/roles/{name}").Execute();
        Console.WriteLine("Deleted role: " + name);
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// deleteRole deletes a custom role.
func deleteRole(w io.Writer, projectID, name string) error {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return fmt.Errorf("iam.New: %v", err)
	}

	_, err = service.Projects.Roles.Delete("projects/" + projectID + "/roles/" + name).Do()
	if err != nil {
		return fmt.Errorf("Projects.Roles.Delete: %v", err)
	}
	fmt.Fprintf(w, "Deleted role: %v", name)
	return nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def delete_role(name, project):
    """Deletes a role."""

    # pylint: disable=no-member
    role = service.projects().roles().delete(
        name='projects/' + project + '/roles/' + name).execute()

    print('Deleted role: ' + name)
    return role

역할을 삭제했어도 바인딩은 유지되지만 비활성 상태입니다. 역할을 삭제했어도 7일 안에 삭제를 취소할 수 있습니다. 이 7일 동안 역할은 GCP Console에 삭제됨으로 표시되며 프로그래매틱 방식으로 list 명령어에 표시되지 않습니다(요청에서 showDeleted가 설정되기 전까지).

7일이 지나면 역할은 영구 삭제되도록 예약됩니다. 영구 삭제 프로세스는 30일이 걸립니다. 30일 동안 역할과 역할에 연결된 모든 바인딩이 영구 삭제되며, 이 기간에는 동일한 역할 ID로 새로운 역할을 만들 수 없습니다.

최초 삭제 요청 이후 37일이 지나 역할이 영구 삭제되면 동일한 역할 ID로 새로운 역할을 만들 수 있습니다.

커스텀 역할 삭제 취소

Console

  1. GCP Console에서 역할 페이지로 이동합니다.

    역할 페이지 열기

  2. 삭제 취소할 역할을 찾아서 행 끝의 더보기 아이콘을 클릭하고 삭제 취소를 클릭합니다.

삭제 후 7일 이내에만 역할을 삭제 취소할 수 있습니다. 7일이 지나면 역할이 영구적으로 삭제되고 역할에 연결된 모든 바인딩이 삭제됩니다.

GCLOUD 명령어

커스텀 역할을 삭제 취소하려면 gcloud iam roles undelete 명령어를 사용합니다. 역할을 삭제 취소하면 역할이 이전 상태로 돌아갑니다.

삭제 후 7일 이내에만 역할을 삭제 취소할 수 있습니다. 7일이 지나면 역할이 영구적으로 삭제되고 역할에 연결된 모든 바인딩이 삭제됩니다.

다음 gcloud 명령을 실행하여 커스텀 역할을 삭제 취소합니다.

gcloud iam roles undelete [ROLE-ID] --project [PROJECT-ID]

다음은 각 자리표시자 값에 대한 설명입니다.

  • [ROLE-ID]은 역할의 이름(예: viewer)입니다.
  • [PROJECT-ID]는 프로젝트의 이름(예: my-project-id)입니다. 역할이 1234567과 같이 조직 수준에서 생성된 경우 --organization [ORGANIZATION-ID] 플래그를 사용할 수도 있습니다.

다음 예에서는 커스텀 역할을 삭제 취소하는 방법을 보여줍니다.

gcloud iam roles undelete viewer --project my-project-id

역할이 정상적으로 삭제 취소되면 다음과 같은 응답이 반환됩니다.

description: My custom role description.
etag: BwVkCAx9W6w=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

REST API

roles.undelete는 역할을 이전 상태로 되돌립니다.

name은 다음 형식일 수 있습니다.

  • organizations/{ORGANIZATION-ID}/roles/{ROLE-NAME}
  • projects/{PROJECT-ID}/roles/{ROLE-NAME}

삭제 후 7일 이내에만 역할을 삭제 취소할 수 있습니다. 7일이 지나면 역할이 영구적으로 삭제되고 역할에 연결된 모든 바인딩이 삭제됩니다.

오류 코드

오류 코드 상태 메시지
PERMISSION_DENIED {path}의 역할을 삭제 취소할 권한이 없습니다.
FAILED_PRECONDITION 삭제되지 않은 역할은 삭제 취소할 수 없습니다.
FAILED_PRECONDITION 예약된 {ROLE-NAME} 역할은 삭제 취소할 수 없습니다.
INVALID_ARGUMENT 사전 정의된 역할은 삭제 취소할 수 없습니다.

C#

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 C# 설정 안내를 따르세요. 자세한 내용은 Cloud IAM C# API 참조 문서를 참조하세요.


using System;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static Role UndeleteRole(string name, string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        string resource = $"projects/{projectId}/roles/{name}";
        var role = service.Projects.Roles.Undelete(
            new UndeleteRoleRequest(), resource).Execute();
        Console.WriteLine("Undeleted role: " + role.Name);
        return role;
    }
}

Go

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용한 Cloud IAM 빠른 시작의 Go 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Go API 참조 문서를 참조하세요.

import (
	"context"
	"fmt"
	"io"

	"golang.org/x/oauth2/google"
	iam "google.golang.org/api/iam/v1"
)

// undeleteRole restores a deleted custom role.
func undeleteRole(w io.Writer, projectID, name string) (*iam.Role, error) {
	client, err := google.DefaultClient(context.Background(), iam.CloudPlatformScope)
	if err != nil {
		return nil, fmt.Errorf("google.DefaultClient: %v", err)
	}
	service, err := iam.New(client)
	if err != nil {
		return nil, fmt.Errorf("iam.New: %v", err)
	}

	resource := "projects/" + projectID + "/roles/" + name
	request := &iam.UndeleteRoleRequest{}
	role, err := service.Projects.Roles.Undelete(resource, request).Do()
	if err != nil {
		return nil, fmt.Errorf("Projects.Roles.Undelete: %v", err)
	}
	fmt.Fprintf(w, "Undeleted role: %v", role.Name)
	return role, nil
}

Python

이 샘플을 시도해 보기 전에 클라이언트 라이브러리를 사용하는 Cloud IAM 빠른 시작의 Python 설정 안내를 따르세요. 자세한 내용은 Cloud IAM Python API 참조 문서를 참조하세요.

def undelete_role(name, project):
    """Undeletes a role."""

    # pylint: disable=no-member
    role = service.projects().roles().patch(
        name='projects/' + project + '/roles/' + name,
        body={
            'stage': 'DISABLED'
        }).execute()

    print('Disabled role: ' + role['name'])
    return role

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Cloud IAM 문서