역할 이해

ID가 Google Cloud Platform API를 호출하면 Google Cloud Identity and Access Management에서는 ID에 리소스를 사용할 적절한 권한이 있어야 합니다. 권한을 부여하려면 사용자, 그룹, 또는 서비스 계정에 역할을 부여하면 됩니다.

이 페이지에서는 Cloud Platform 리소스에 액세스하기 위해 ID에 부여할 수 있는 Cloud IAM 역할을 설명합니다.

이 가이드 관련 필수 조건

Cloud IAM의 기본 개념 이해

역할 유형

Cloud IAM에는 다음과 같은 세 가지 유형의 역할이 있습니다.

기본 역할: Cloud IAM 도입 전에 존재했던 소유자, 편집자, 뷰어 역할을 포함합니다.
사전 정의된 역할: 특정 서비스에 대한 세부적인 액세스를 제공하고 GCP에 의해 관리됩니다.
커스텀 역할: 사용자 지정 권한 목록에 따라 세부적인 액세스를 제공합니다.

기본, 사전 정의, 또는 커스텀 역할에 1개 이상의 권한을 포함할지 결정하려면 다음과 같은 방법을 사용해야 합니다.

gcloud iam roles describe 명령
roles.get() API

다음 섹션에서는 각 역할 유형을 설명하고 이를 사용하는 방법의 예시를 보여줍니다.

기본 역할

소유자, 편집자, 뷰어는 Cloud IAM 도입 전에도 존재했던 세 가지 역할입니다. 이 세 가지 역할의 권한은 동심원 형태로 겹칩니다. 즉, 소유자 역할에는 편집자 역할의 권한이 포함되며, 편집자 역할에는 뷰어 역할의 권한이 포함됩니다.

다음 표에서는 모든 GCP 서비스에서 기본 역할에 포함되는 권한을 간략히 확인할 수 있습니다.

기본 역할 정의

역할 이름	역할 칭호	권한
`roles/viewer`	뷰어	상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 부여됩니다. 예를 들면 기존 리소스 또는 데이터의 조회(수정 제외)가 여기에 해당합니다.
`roles/editor`	편집자	모든 뷰어 권한에 더해 기존 리소스 변경과 같이 상태를 변경하는 작업에 대한 권한까지 포함됩니다. 참고: `roles/editor` 역할에는 대부분의 GCP 서비스에 대한 리소스를 생성 또는 삭제할 권한이 부여되지만, 일부 서비스(Cloud Source Repositories 및 Stackdriver 등)에는 이러한 권한이 포함되지 않습니다. 역할에 필요한 권한이 부여되었는지 확인하려면 위 섹션을 확인하세요.
`roles/owner`	소유자	모든 편집자 권한 및 다음 작업에 대한 권한: 프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리 프로젝트에 대한 결제 설정 참고: Cloud Pub/Sub 주제와 같은 리소스 수준의 소유자 역할을 부여한다고 해서 프로젝트의 소유자 역할까지 부여하지는 않습니다. 소유자 역할에는 조직 리소스에 대한 어떠한 권한도 포함되지 않습니다. 따라서, 조직 수준에서 소유자 역할을 부여해도 메타데이터를 업데이트할 수는 없습니다. 하지만, 해당 조직 하의 프로젝트는 수정할 수 있습니다.

GCP 콘솔, API, gcloud 명령줄 도구를 사용해 프로젝트 또는 서비스 리소스 수준에서 기본 역할을 적용할 수 있습니다.

초대 흐름

Cloud IAM API 또는 gcloud 명령줄 도구를 사용해 프로젝트에 대한 소유자 역할을 구성원에게 부여할 수 없습니다. GCP Console을 사용해서만 소유자를 프로젝트에 추가할 수 있습니다. 구성원에게 이메일로 초대가 전송되며, 구성원은 초대를 수락해야만 프로젝트 소유자로 지정될 수 있습니다.

다음과 같은 경우에는 초대 이메일이 전송되지 않습니다.

소유자가 아닌 다른 역할을 부여하는 경우
조직 구성원이 조직의 다른 구성원을 해당 조직 내 프로젝트의 소유자로 추가하는 경우

사전 정의된 역할

기본 역할에 더해, Cloud IAM은 특정 Google Cloud Platform 리소스에 대한 세부적인 액세스를 제공하고 기타 리소스에 대한 무단 액세스는 방지하는 사전 정의된 역할을 추가로 제공합니다.

다음 표에서는 이러한 역할, 역할에 관한 설명, 해당 역할을 설정할 수 있는 최하위 수준 리소스 유형의 목록을 확인할 수 있습니다. 이러한 리소스 유형에는 특정 역할을 부여하거나, 또는 대부분의 경우 GCP 계층구조에서 해당 역할의 상위에 해당하는 모든 유형을 부여할 수 있습니다. 같은 사용자에 여러 역할을 부여할 수도 있습니다. 예를 들어, 한 사용자가 한 프로젝트의 네트워크 관리자와 로그 뷰어 역할을 가지고 해당 프로젝트 내의 Pub/Sub 주제에 대한 게시자 역할도 부여받을 수 있습니다. 역할에 포함된 권한 목록은 역할 메타데이터 보기에서 확인하세요.

프로젝트 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ browser`^베타	브라우저	폴더, 조직, Cloud IAM을 포함한 프로젝트의 계층구조를 탐색할 수 있는 읽기 액세스입니다. 이 역할에는 프로젝트의 리소스를 볼 수 있는 권한이 제공되지 않습니다.	프로젝트
`roles/ iam.serviceAccountActor`	서비스 계정 행위자	이 역할은 지원이 중단되었습니다. 서비스 계정으로서 작업을 실행하려면 서비스 계정 사용자 역할을 사용해야 합니다. 서비스 계정 행위자로서 동일한 권한을 효과적으로 제공하려면 서비스 계정 토큰 생성자 권한도 부여해야 합니다.	서비스 계정

앱 엔진 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ appengine.appAdmin`	App Engine 관리자	모든 애플리케이션 구성 및 설정에 대한 읽기/쓰기/수정 액세스입니다.	프로젝트
`roles/ appengine.serviceAdmin`	App Engine 서비스 관리자	모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다. 모듈 수준 및 버전 수준 설정에 대한 쓰기 액세스입니다. 새로운 버전은 배포할 수 없습니다.	프로젝트
`roles/ appengine.deployer`	App Engine 배포자	모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다. 새로운 버전 생성만 가능한 쓰기 액세스입니다. 트래픽을 수신하지 않는 버전을 삭제하는 경우를 제외하면 기존 버전을 수정할 수 없습니다.	프로젝트
`roles/ appengine.appViewer`	App Engine 뷰어	모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다.	프로젝트
`roles/ appengine.codeViewer`	App Engine 코드 뷰어	모든 애플리케이션 구성, 설정 및 배포된 소스 코드에 대한 읽기 전용 액세스입니다.	프로젝트

BigQuery 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ bigquery.user`	BigQuery 사용자	프로젝트 내에서 쿼리를 포함한 작업 실행에 대한 권한을 제공합니다. 이 사용자 역할은 자신의 작업을 열거하고, 자신의 작업을 취소하고, 프로젝트 내에서 데이터세트를 열거할 수 있습니다. 추가로, 프로젝트 내에서 새로운 데이터세트의 생성을 허용합니다. 생성자는 새로운 데이터세트에 대한 `bigquery.dataOwner` 역할이 부여됩니다.	프로젝트
`roles/ bigquery.jobUser`	BigQuery 작업 사용자	프로젝트 내에서 쿼리를 포함한 작업 실행에 대한 권한을 제공합니다. 이 작업 사용자 역할은 자신의 작업을 열거하고 자신의 작업을 취소할 수 있습니다.	프로젝트
`roles/ bigquery.dataViewer`	BigQuery 데이터 뷰어	데이터세트에 적용하면 dataViewer는 다음에 대한 권한을 제공합니다. 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 작업 데이터세트 테이블에서 데이터 및 메타데이터 읽기 프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 프로젝트의 모든 데이터세트를 열거할 수 있습니다. 하지만 작업 실행을 허용하려면 추가적인 역할이 필요합니다.	데이터세트
`roles/ bigquery.dataEditor`	BigQuery 데이터 편집자	데이터세트에 적용하면 dataEditor는 다음에 대한 권한을 제공합니다. 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 작업 데이터세트 테이블 생성, 업데이트, 받기, 삭제 프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 새로운 데이터세트를 생성할 수 있습니다.	데이터세트
`roles/ bigquery.dataOwner`	BigQuery 데이터 소유자	데이터세트에 적용할 경우, dataOwner는 다음과 같은 권한을 제공합니다. 데이터세트 읽기, 업데이트 및 삭제 데이터세트 테이블 생성, 업데이트, 받기, 삭제 프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 새로운 데이터세트를 생성할 수 있습니다.	데이터세트
`roles/ bigquery.admin`	BigQuery 관리자	프로젝트 내에서 모든 리소스를 관리할 권한을 제공합니다. 프로젝트 내에서 모든 데이터를 관리할 수 있고 프로젝트 내에서 실행 중인 다른 사용자의 작업을 취소할 수 있습니다.	프로젝트

Cloud Bigtable 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ bigtable.admin`	Cloud Bigtable 관리자	테이블 내에 저장된 데이터를 비롯하여 프로젝트 내의 모든 인스턴스를 관리합니다. 새 인스턴스를 만들 수 있습니다. 프로젝트 관리자용입니다.	인스턴스
`roles/ bigtable.user`	Cloud Bigtable 사용자	테이블 내에 저장된 데이터에 대한 읽기/쓰기 액세스를 제공합니다. 애플리케이션 개발자 또는 서비스 계정용입니다.	인스턴스
`roles/ bigtable.reader`	Cloud Bigtable 리더	테이블 내에 저장된 데이터에 대한 읽기 전용 액세스를 제공합니다. 데이터 과학자, 대시보드 생성기, 기타 데이터 분석 시나리오용입니다.	인스턴스
`roles/ bigtable.viewer`	Cloud Bigtable 뷰어	데이터 액세스를 제공하지 않습니다. Cloud Bigtable용 GCP 콘솔에 액세스하기 위한 최소 권한 집합으로 사용됩니다.	인스턴스

Cloud Billing 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ billing.admin`	결제 계정 관리자	결제 계정의 모든 요소를 보고 관리하기 위한 액세스 권한을 제공합니다.	결제 계정
`roles/ billing.projectManager`	프로젝트 결제 관리자	프로젝트의 결제 계정을 할당하거나 프로젝트 결제를 사용 중지하는 액세스 권한을 제공합니다.	프로젝트
`roles/ billing.user`	결제 계정 사용자	프로젝트를 결제 계정과 연결하기 위한 액세스 권한을 제공합니다.	결제 계정
`roles/ billing.creator`	결제 계정 생성자	결제 계정 생성을 위한 액세스를 제공합니다.	프로젝트
`roles/ billing.viewer`	결제 계정 뷰어	결제 계정 비용 정보 및 거래를 봅니다.	조직 결제 계정

Cloud Dataflow 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ dataflow.viewer`	Cloud Dataflow 뷰어	모든 Cloud Dataflow 관련 리소스에 대한 읽기 전용 액세스를 제공합니다.	프로젝트
`roles/ dataflow.developer`	Cloud Dataflow 개발자	Cloud Dataflow 작업을 실행 및 조작하는 데 필요한 모든 권한을 제공합니다.	프로젝트
`roles/ dataflow.worker`	Cloud Dataflow 작업자	Cloud Dataflow 파이프라인에 대한 작업 단위를 실행하기 위한 Compute Engine 서비스 계정에 필요한 권한을 제공합니다.	프로젝트

Cloud Dataproc 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ dataproc.editor` ^베타	Cloud Dataproc 편집기	머신 유형, 네트워크, 프로젝트 및 영역 등 Cloud Dataproc 관리에 필수적인 리소스를 보는 데 필요한 권한을 제공합니다.	프로젝트
`roles/ dataproc.viewer` ^베타	Cloud Dataproc 뷰어	Cloud Dataproc 리소스에 대한 읽기 전용 액세스를 제공합니다.	프로젝트

Cloud Datastore 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ datastore.importExportAdmin`	Cloud Datastore 가져오기 내보내기 관리자	가져오기 및 내보내기를 관리할 수 있는 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ datastore.indexAdmin`	Cloud Datastore 색인 관리자	색인 정의를 관리할 수 있는 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ datastore.owner`	Cloud Datastore 소유자	Cloud Datastore 리소스에 대한 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ datastore.user`	Cloud Datastore 사용자	Cloud Datastore 데이터베이스의 데이터에 대한 읽기/쓰기 액세스를 제공합니다.	프로젝트
`roles/ datastore.viewer`	Cloud Datastore 뷰어	리소스에 대한 읽기 액세스 권한을 제공합니다.	프로젝트

Dialogflow 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ dialogflow.admin`	Dialogflow API 관리자	모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 전체 액세스입니다. API 및 Dialogflow 콘솔(일반적으로 Dialogflow 콘솔에서 에이전트를 생성하기 위해 필요)에도 유사한 액세스를 확보하려면 `roles/owner` 기본 역할을 사용하세요.	프로젝트
`roles/ dialogflow.client`	Dialogflow API 클라이언트	모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 액세스를 수정합니다. API 및 Dialogflow 콘솔(일반적으로 Dialogflow 콘솔에서 에이전트를 생성하기 위해 필요)에도 유사한 액세스를 확보하려면 `roles/editor` 기본 역할을 사용하세요.	프로젝트
`roles/ dialogflow.reader`	Dialogflow API 리더	모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 읽기 액세스입니다. 의도는 감지하지 못합니다. API 및 Dialogflow 콘솔에도 유사한 액세스 권한을 부여하려면 `roles/viewer` 기본 역할을 사용하세요.	프로젝트

Cloud DNS 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ dns.admin`	DNS 관리자	모든 Cloud DNS에 대한 읽기 및 쓰기 액세스 권한을 제공합니다.	프로젝트
`roles/ dns.reader`	DNS 리더	모든 Cloud DNS 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트

Cloud KMS 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ cloudkms.admin`	클라우드 KMS 관리자	Cloud KMS 리소스에 대한 전체 액세스를 제공합니다(암호화/복호화 작업 제외).	CryptoKey
`roles/ cloudkms.cryptoKeyEncrypterDecrypter`	클라우드 KMS 암호화/복호화	암호화/복호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다.	CryptoKey
`roles/ cloudkms.cryptoKeyEncrypter`	Cloud KMS 암호화	암호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다.	CryptoKey
`roles/ cloudkms.cryptoKeyDecrypter`	Cloud KMS 복호화	복호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다.	CryptoKey

Cloud ML Engine 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ ml.admin`	ML Engine 관리자	Cloud ML Engine 리소스 및 그 작업, 운영, 모델 및 버전에 대한 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ ml.developer`	ML Engine 개발자	교육 및 예측을 위한 모델, 버전, 작업 생성과 온라인 예측 요청을 전송하기 위해 Cloud ML Engine 리소스를 사용할 수 있는 기능을 제공합니다.	프로젝트
`roles/ ml.viewer`	ML Engine 뷰어	Cloud ML Engine 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ ml.modelOwner`	ML Engine 모델 소유자	모델 및 모델 버전에 대한 전체 액세스 권한을 제공합니다. 이 역할은 모델을 생성하는 사용자에게 자동으로 부여됩니다.	모델
`roles/ ml.modelUser`	ML Engine 모델 사용자	모델 및 모델 버전을 읽고 예측을 위해 사용할 수 있는 권한을 제공합니다.	모델
`roles/ ml.jobOwner`	ML Engine 작업 소유자	특정 작업 리소스에 대한 모든 권한에 대한 전체 액세스 권한을 제공합니다. 이 역할은 작업을 생성하는 사용자에게 자동으로 부여됩니다.	작업
`roles/ ml.operationOwner`	ML Engine 작업 소유자	특정 작업 리소스에 대한 모든 권한을 사용할 수 있는 전체 액세스 권한을 제공합니다.	작업

Cloud Pub/Sub 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ pubsub.publisher`	게시/구독 게시자	주제에 메시지를 게시하기 위한 액세스 권한을 제공합니다.	주제
`roles/ pubsub.subscriber`	게시/구독 구독자	구독에서 메시지를 사용하고 주제에 구독을 연결하기 위한 액세스 권한을 제공합니다.	주제
`roles/ pubsub.viewer`	게시/구독 뷰어	주제와 구독을 보기 위한 액세스 권한을 제공합니다.	주제
`roles/ pubsub.editor`	게시/구독 편집자	주제 및 구독 항목을 수정하고, 메시지를 게시하고 사용하기 위한 액세스 권한을 제공합니다.	주제
`roles/ pubsub.admin`	게시/구독 관리자	주제 및 구독 항목에 대한 전체 액세스 권한을 제공합니다.	주제

Cloud Spanner 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ spanner.admin`	Cloud Spanner 관리자	다른 주체에 대한 권한을 부여 또는 취소할 권한, 청구 가능한 리소스를 할당 및 삭제할 권한, 리소스에 대한 작업 획득/나열/열거를 발행할 권한, 데이터베이스 읽기/쓰기 권한, 프로젝트 메타데이터 가져오기 권한 등이 있습니다.	프로젝트
`roles/ spanner.databaseAdmin`	Cloud Spanner 데이터베이스 관리자	프로젝트에서 모든 Cloud Spanner 리소스를 획득/나열할 권한, 데이터베이스 생성/나열/삭제할 권한, 프로젝트 데이터베이스에 대한 액세스 권한 부여/취소, 프로젝트에서 모든 Cloud Spanner 데이터베이스에 대한 읽기/쓰기 권한 등이 있습니다.	프로젝트
`roles/ spanner.databaseReader`	Cloud Spanner 데이터베이스 리더	Cloud Spanner 데이터베이스에서 읽을 권한, 데이터베이스에서 SQL 쿼리를 실행하고 스키마를 볼 권한 등이 있습니다.	데이터베이스
`roles/ spanner.databaseUser`	Cloud Spanner 데이터베이스 사용자	Spanner 데이터베이스에서 읽고 쓸 권한, 데이터베이스에서 SQL 쿼리를 실행할 권한과 스키마를 보고 업데이트할 권한 등이 있습니다.	데이터베이스
`roles/ spanner.viewer`	Cloud Spanner 뷰어	모든 Cloud Spanner 인스턴스와 데이터베이스를 볼 수 있지만 이를 수정하거나 읽을 수는 없는 권한이 부여됩니다.	프로젝트

Cloud SQL 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ cloudsql.admin`	Cloud SQL 관리자	Cloud SQL 리소스를 관리할 수 있는 전체 권한을 제공합니다.	프로젝트
`roles/ cloudsql.editor`	Cloud SQL 편집자	기존 Cloud SQL 인스턴스를 관리할 수 있는 전체 권한을 제공하지만 사용자 수정, SSL 인증서 수정, 리소스 삭제 권한은 제외됩니다.	프로젝트
`roles/ cloudsql.viewer`	Cloud SQL 뷰어	Cloud SQL 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ cloudsql.client`	Cloud SQL 클라이언트	Cloud SQL 인스턴스에 대한 연결 액세스 권한을 제공합니다.	프로젝트

Cloud Storage 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ storage.objectCreator`	저장소 객체 생성자	사용자에게 객체를 생성할 권한을 부여합니다. 객체를 삭제하거나 덮어쓰기할 권한은 부여하지 않습니다.	버킷
`roles/ storage.objectViewer`	저장소 객체 뷰어	객체 및 ACL을 제외한 객체의 메타데이터를 보기 위한 액세스 권한을 부여합니다.	버킷
`roles/ storage.objectAdmin`	저장소 객체 관리자	객체 전체 제어 권한을 부여합니다.	버킷
`roles/ storage.admin`	저장소 관리자	객체와 버킷에 대한 전체 제어 권한을 부여합니다.	버킷
`roles/ storage.legacyObjectReader`	기존 객체 리더	ACL을 제외한 객체 및 객체의 메타데이터를 볼 수 있습니다.	버킷
`roles/ storage.legacyObjectOwner`	기존 객체 소유자	`storage.legacyObjectReader` 역할이 있습니다. 또한 버킷의 메타데이터를 보고 편집할 수 있습니다. ACL 역시 포함되며, ACL은 Cloud IAM 정책으로 반환됩니다.	버킷
`roles/ storage.legacyBucketReader`	기존 버킷 리더	Cloud IAM 정책을 제외한 버킷의 콘텐츠를 나열하고 버킷 메타데이터를 읽을 수 있습니다. 또한 객체 메타데이터를 읽을 수 있으며, Cloud IAM 정책은 객체 나열 시 제외됩니다. 이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.	버킷
`roles/ storage.legacyBucketWriter`	기존 버킷 작성자	`storage.legacyBucketReader` 역할이 있습니다. 버킷에서 객체를 생성, 덮어쓰기, 삭제할 수 있습니다. 이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.	버킷
`roles/ storage.legacyBucketOwner`	기존 버킷 소유자	`storage.legacyBucketWriter` 역할이 있습니다. 또한 버킷 Cloud IAM 정책을 읽고 Cloud IAM 정책을 포함한 버킷 메타데이터를 편집할 수 있습니다. 이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.	버킷

Compute Engine 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ compute.instanceAdmin` ^베타	Compute 인스턴스 관리자	가상 머신 인스턴스를 생성, 수정, 삭제할 권한이 부여됩니다. 여기에는 디스크를 생성, 수정, 삭제할 권한이 포함됩니다. 사용자가 서비스 계정으로서 실행하도록 구성된 가상 머신 인스턴스를 관리하는 경우에는 `roles/iam.serviceAccountUser` 역할도 부여해야 합니다. 예를 들어, 가상 머신 인스턴스 그룹을 관리하지만 네트워크 또는 보안 설정은 관리하지 않으며 서비스 계정으로서 실행되는 인스턴스를 관리하지 않는 사람이 회사에 있는 경우 이 역할을 부여하면 됩니다.	프로젝트
`roles/ compute.networkUser`	Compute 네트워크 사용자	공유 VPC 네트워크에 대한 액세스 권한을 제공합니다. 허용되면 서비스 소유자는 호스트 프로젝트에 속한 VPC 네트워크와 서브넷을 사용할 수 있습니다. 예를 들어, 네트워크 사용자는 호스트 프로젝트 네트워크에 속하는 VM 인스턴스를 생성할 수 있지만 호스트 프로젝트에서 새로운 네트워크를 삭제 또는 생성할 수 없습니다.	프로젝트
`roles/ compute.networkViewer`	Compute 네트워크 뷰어	모든 네트워킹 리소스에 대한 읽기 전용 액세스 권한입니다. 예를 들어, 네트워크 구성을 검사하는 소프트웨어가 있는 경우, 해당 소프트웨어의 서비스 계정에 `networkViewer` 역할을 부여할 수 있습니다.	프로젝트
`roles/ compute.networkAdmin`	Compute 네트워크 관리자	방화벽 규칙과 SSL 인증서를 제외한 네트워킹 리소스를 생성, 수정, 삭제할 권한이 부여됩니다. 네트워크 관리자 역할에는 방화벽 규칙, SSL 인증서, 인스턴스에 대한 읽기 전용 액세스가 허용됩니다(임시 IP 주소를 보기 위한 목적). 네트워크 관리자 역할에는 인스턴스를 생성, 시작, 중지 또는 삭제할 권한이 없습니다. 예를 들어, 방화벽과 SSL 인증서를 관리하는 보안팀과 나머지 네트워킹 리소스를 관리하는 네트워킹팀이 회사에 있는 경우, 네트워킹팀의 그룹에 `networkAdmin` 역할을 부여하면 됩니다.	프로젝트
`roles/ compute.securityAdmin`	Compute 보안 관리자	방화벽 규칙과 SSL 인증서를 생성, 수정, 삭제할 권한이 있습니다. 예를 들어, 방화벽과 SSL 인증서를 관리하는 보안팀과 나머지 네트워킹 리소스를 관리하는 네트워킹팀이 회사에 있는 경우,보안팀의 그룹에 `securityAdmin` 역할을 부여하면 됩니다.	프로젝트
`roles/ compute.imageUser`	컴퓨팅 이미지 사용자	프로젝트의 리소스에 대한 다른 권한 없이 이미지를 나열하고 읽을 수 있는 권한입니다. `compute.imageUser` 역할을 부여하면 사용자는 프로젝트의 모든 이미지를 나열할 수 있게 되고 프로젝트의 이미지를 기반으로 인스턴스 및 영구 디스크 등의 리소스를 생성할 수 있게 됩니다.	프로젝트
`roles/ compute.storageAdmin` ^베타	Compute Storage 관리자	디스크, 이미지, 스냅샷을 생성, 수정, 삭제할 권한이 있습니다. 예를 들어, 회사에 이미지 관리 담당자가 있지만 이들에게 프로젝트에 대한 편집자 역할은 주고 싶지 않은 경우, 이들의 계정에 `storageAdmin` 역할을 부여하면 됩니다.	프로젝트
`roles/ compute.xpnAdmin`	공유 VPC 관리자	공유 VPC 호스트 프로젝트를 관리할 권한이 있습니다. 구체적으로 프로젝트를 호스팅하고 공유 VPC 서비스 프로젝트를 호스트 프로젝트 네트워크에 연결할 수 있는 권한입니다. 조직 관리자만이 이 역할을 조직에 부여할 수 있습니다.	조직
`roles/ compute.admin` ^베타	Compute 관리자	모든 Compute Engine 리소스를 관리할 수 있는 전체 권한입니다. 사용자가 서비스 계정으로서 실행하도록 구성된 가상 머신 인스턴스를 관리하는 경우에는 `roles/iam.serviceAccountUser` 역할도 부여해야 합니다.	프로젝트
`roles/ compute.viewer` ^베타	Compute 뷰어	Compute Engine 리소스를 가져와 나열할 수 있지만 리소스에 저장된 데이터를 읽을 수는 없는 읽기 전용 액세스 권한입니다. 예를 들어, 이 역할을 부여받은 계정은 모든 디스크를 프로젝트에 목록화할 수 있지만 해당 디스크의 데이터는 전혀 읽을 수 없습니다.	프로젝트

Container Builder 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ cloudbuild.builds.editor`	Container Builder 편집자	빌드를 생성 및 취소할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ cloudbuild.builds.viewer`	Container Builder 뷰어	빌드를 볼 수 있는 액세스 권한을 제공합니다.	프로젝트

Kubernetes Engine 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ container.admin`	Kubernetes Engine 관리자	컨테이너 클러스터 및 해당 Kubernetes API 객체를 전체 제어할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ container.clusterAdmin`	Kubernetes Engine 클러스터 관리자	컨테이너 클러스터를 관리할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ container.developer`	Kubernetes Engine 개발자	컨테이너 클러스터에 포함된 Kubernetes API 객체에 대한 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ container.viewer`	Kubernetes Engine 뷰어	Kubernetes Engine 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트

Deployment Manager 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ deploymentmanager.viewer`	배포 관리자 뷰어	배포 관리자 관련 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ deploymentmanager.editor`	배포 관리자 편집자	배포를 생성 및 관리하는 데 필수적인 권한을 제공합니다.	프로젝트
`roles/ deploymentmanager.typeViewer`	배포 관리자 유형 뷰어	모든 유형 레지스트리 리소스에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ deploymentmanager.typeEditor`	배포 관리자 유형 편집자	모든 유형 레지스트리 리소스에 대한 읽기 및 쓰기 액세스 권한을 제공합니다.	프로젝트

Cloud IAM 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ iam.organizationRoleAdmin`	조직 역할 관리자	조직 및 조직에 속한 프로젝트의 모든 커스텀 역할을 관리할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ iam.roleAdmin`	역할 관리자	프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다.	프로젝트
`roles/ iam.organizationRoleViewer`	조직 역할 뷰어	조직 및 조직에 속한 프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다.	프로젝트
`roles/ iam.roleViewer`	역할 뷰어	프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다.	프로젝트
`roles/ iam.securityReviewer`	보안 검토자	모든 리소스와 해당 리소스에 대한 Cloud IAM 정책을 나열할 수 있는 권한을 제공합니다.	프로젝트

Cloud IAP 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ iap.httpsResourceAccessor`	IAP 보안 웹 앱 사용자	IAP(Identity-Aware Proxy)를 사용하는 HTTPS 리소스에 대한 액세스 권한을 제공합니다.	프로젝트

Resource Manager 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ orgpolicy.policyAdmin`	조직 정책 관리자	조직 정책을 설정함으로써 조직에서 클라우드 리소스의 구성에 적용하려는 제한사항을 정의할 수 있는 액세스 권한을 제공합니다.	조직
`roles/ resourcemanager.folderAdmin`	폴더 관리자	폴더와 관련된 작업을 위해 사용 가능한 모든 권한을 제공합니다.	폴더
`roles/ resourcemanager.folderCreator`	폴더 생성자	계층구조를 찾아보고 폴더를 생성하는 데 필요한 권한을 제공합니다.	폴더
`roles/ resourcemanager.folderEditor`	폴더 편집자	폴더 수정 권한과 폴더의 Cloud IAM 정책을 볼 수 있는 권한을 제공합니다.	폴더
`roles/ resourcemanager.folderIamAdmin`	폴더 IAM 관리자	폴더에 대한 Cloud IAM 정책을 관리할 수 있는 권한을 제공합니다.	폴더
`roles/ resourcemanager.folderMover`	폴더 이동자	프로젝트와 폴더를 상위 조직 또는 폴더 안팎으로 이동시킬 수 있는 권한을 제공합니다.	폴더
`roles/ resourcemanager.folderViewer`	폴더 뷰어	리소스에 속한 폴더와 프로젝트를 가져와 나열할 수 있는 권한을 제공합니다.	폴더
`roles/ resourcemanager.organizationViewer`	조직 뷰어	조직을 볼 수 있는 액세스 권한을 제공합니다.	조직
`roles/ resourcemanager.projectCreator`	프로젝트 생성자	새로운 프로젝트를 생성할 수 있는 액세스 권한을 제공합니다. 사용자가 프로젝트를 생성하면 해당 사용자에게 해당 프로젝트의 소유자 역할이 자동으로 부여됩니다.	폴더
`roles/ resourcemanager.projectDeleter`	프로젝트 삭제자	GCP 프로젝트를 삭제할 수 있는 액세스 권한을 제공합니다.	조직
`roles/ resourcemanager.projectIamAdmin`	프로젝트 IAM 관리자	프로젝트에 대한 Cloud IAM 정책을 관리할 수 있는 권한을 제공합니다.	프로젝트
`roles/ resourcemanager.lienModifier`	프로젝트 선취권 수정자	프로젝트의 선취권을 수정할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ resourcemanager.projectMover`	프로젝트 이동자	프로젝트를 업데이트하고 이동시킬 수 있는 액세스 권한을 제공합니다.	프로젝트

서비스 계정 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ iam.serviceAccountAdmin`	서비스 계정 관리자	서비스 계정을 만들고 관리합니다.	서비스 계정
`roles/ iam.serviceAccountKeyAdmin`	서비스 계정 키 관리자	서비스 계정 키를 만들고, 관리하고, 순환할 수 있습니다.	서비스 계정
`roles/ iam.serviceAccountTokenCreator`	서비스 계정 토큰 생성자	OAuth2 액세스 토큰, 서명 blob, JWT 생성 등과 같이 서비스 계정을 가장하는 작업을 합니다.	서비스 계정
`roles/ iam.serviceAccountUser`	서비스 계정 사용자	서비스 계정으로서 작업을 실행합니다.	서비스 계정

서비스 관리 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ servicemanagement.serviceController`	서비스 컨트롤러	서비스 사용량을 확인 및 보고하는 런타임의 관리 권한입니다.	프로젝트
`roles/ servicemanagement.quotaAdmin`	할당량 관리자	서비스 할당량을 관리할 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ servicemanagement.quotaViewer`	할당량 뷰어	서비스 할당량을 볼 수 있는 액세스 권한을 제공합니다.	프로젝트

소스 저장소 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ source.admin`	소스 저장소 관리자	저장소를 생성, 업데이트, 삭제, 나열, 수정, 복제, 가져오기, 찾아보기할 권한을 제공합니다. 또한 IAM 정책을 읽고 변경할 권한도 제공합니다.	프로젝트
`roles/ source.reader`	소스 저장소 리더	저장소를 나열, 복제, 가져오기, 찾아보기할 권한을 제공합니다.	프로젝트
`roles/ source.writer`	소스 저장소 작성자	저장소를 나열, 복제, 가져오기, 찾아보기, 업데이트할 권한을 제공합니다.	프로젝트

Stackdriver Debugger 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ clouddebugger.agent`	Debugger 에이전트	디버그 대상을 등록하고 활성 중단점을 읽고 중단점 결과를 보고할 수 있는 권한을 제공합니다.	서비스 계정
`roles/ clouddebugger.user`	Debugger 사용자	중단점(스냅샷 및 로그 지점)을 생성, 조회, 나열, 삭제할 권한과 디버그 대상(debuggees)을 나열할 권한을 제공합니다.	프로젝트

Stackdriver Error Reporting 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ errorreporting.viewer`	오류 보고 뷰어	오류 보고 데이터에 대한 읽기 전용 액세스를 제공합니다.	프로젝트
`roles/ errorreporting.user`	오류 보고 사용자	오류 보고 데이터 읽기/쓰기 권한(새로운 오류 이벤트 전송하는 경우 제외)을 제공합니다.	프로젝트
`roles/ errorreporting.writer`	Error Reporting 작성자	오류 보고에 오류 이벤트를 전송할 권한을 제공합니다.	서비스 계정
`roles/ errorreporting.admin`	Error Reporting 관리자	오류 보고 데이터에 전체 액세스를 제공합니다.	프로젝트

Stackdriver Logging 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ logging.viewer`	로그 뷰어	로그를 볼 수 있는 액세스 권한을 제공합니다.	프로젝트
`roles/ logging.logWriter`	로그 작성자	로그 항목을 쓸 수 있는 권한을 제공합니다.	프로젝트
`roles/ logging.privateLogViewer`	비공개 로그 뷰어	로그 뷰어 역할에 대한 권한을 제공하고 추가로 비공개 로그에서 로그 항목에 대한 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ logging.configWriter`	로그 구성 작성자	로그 기반 측정항목 구성과 로그 내보내기에 대한 싱크를 읽기/쓰기할 권한을 제공합니다.	프로젝트
`roles/ logging.admin`	로깅 관리자	Stackdriver Logging의 모든 기능을 사용하는 데 필수적인 모든 권한을 제공합니다.	프로젝트

Stackdriver Monitoring 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ monitoring.viewer`	모니터링 뷰어	모든 모니터링 데이터 및 구성에 관한 정보를 가져와 나열할 수 있는 읽기 전용 액세스 권한을 제공합니다.	프로젝트
`roles/ monitoring.metricWriter`	모니터링 측정항목 작성자	측정항목에 대한 쓰기 전용 액세스 권한을 제공합니다. 측정항목을 전송하는 Stackdriver 에이전트와 기타 시스템에 필요한 권한을 정확히 제공합니다.	프로젝트
`roles/ monitoring.editor`	모니터링 편집자	데이터 모니터링과 구성에 관한 모든 정보에 대한 전체 액세스 권한을 제공합니다.	프로젝트
`roles/ monitoring.admin`	모니터링 관리자	`roles/monitoring.editor`와 동일한 액세스 권한을 제공합니다.	프로젝트

Stackdriver Trace 역할

역할 이름	역할 칭호	설명	최하위 리소스 유형
`roles/ cloudtrace.agent`	Cloud 추적 에이전트	서비스 계정용입니다. Stackdriver Trace에 데이터를 전송함으로써 추적을 쓸 수 있는 기능을 제공합니다.	프로젝트
`roles/ cloudtrace.user`	Cloud 추적 사용자	Trace 콘솔에 대한 전체 액세스 권한과 추적에 대한 읽기 액세스 권한을 제공합니다.	프로젝트
`roles/ cloudtrace.admin`	Cloud Trace 관리자	Trace 콘솔에 대한 전체 액세스 권한과 추적에 대한 쓰기 액세스 권한을 제공합니다.	프로젝트

커스텀 역할

사전 정의된 역할에 더해 Cloud IAM은 또한 커스텀 Cloud IAM 역할을 생성할 수 있는 기능을 제공합니다. 1개 이상의 권한을 가진 커스텀 Cloud IAM 역할을 생성하고 해당 커스텀 역할을 조직에 속한 사용자에게 부여할 수 있습니다. 자세한 내용은 커스텀 역할 이해와 커스텀 역할 생성 및 관리에서 확인하세요.

제품별 Cloud IAM 문서

제품별 Cloud IAM 문서에는 각 제품에서 제공하는 사전 정의된 역할에 관한 더욱 자세한 설명이 담겨 있습니다. 사전 정의된 역할에 관해 자세히 알아보려면 다음 페이지를 읽어보세요.

문서	설명
App Engine에서의 Cloud IAM	App Engine에서 Cloud IAM의 역할을 설명합니다.
BigQuery에서의 Cloud IAM	BigQuery에서 Cloud IAM의 역할을 설명합니다.
Cloud Bigtable에서의 Cloud IAM	Cloud Bigtable에서 Cloud IAM의 역할을 설명합니다.
Cloud Billing API에서의 Cloud IAM	Cloud Billing API에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Dataflow에서의 Cloud IAM	Cloud Dataflow에서 Cloud IAM의 역할을 설명합니다.
Cloud Dataproc에서의 Cloud IAM	Cloud Dataproc에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Datastore에서의 Cloud IAM	Cloud Datastore에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud DNS에서의 Cloud IAM	Cloud DNS에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud KMS에서의 Cloud IAM	Cloud KMS에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud ML Engine에서의 Cloud IAM	Cloud ML Engine에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Pub/Sub에서의 Cloud IAM	Cloud Pub/Sub에서 Cloud IAM의 역할을 설명합니다.
Cloud Spanner에서의 Cloud IAM	Cloud Spanner에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud SQL에서의 Cloud IAM	Cloud SQL에서 Cloud IAM의 역할을 설명합니다.
Cloud Storage에서의 Cloud IAM	Cloud Storage에서 Cloud IAM의 역할을 설명합니다.
Compute Engine에서의 Cloud IAM	Compute Engine에서 Cloud IAM의 역할을 설명합니다.
Kubernetes Engine에서의 Cloud IAM	Kubernetes Engine에서 Cloud IAM의 역할과 권한을 설명합니다.
Deployment Manager에서의 Cloud IAM	Deployment Manager에서 Cloud IAM의 역할과 권한을 설명합니다.
조직에서의 Cloud IAM	조직에서 Cloud IAM의 역할을 설명합니다.
프로젝트에서의 Cloud IAM	프로젝트에서 Cloud IAM의 역할을 설명합니다.
서비스 관리에서의 Cloud IAM	Service Management에서 Cloud IAM의 역할과 권한을 설명합니다.
Stackdriver Debugger에서의 Cloud IAM	Debugger에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Logging에서의 Cloud IAM	Logging에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Monitoring에서의 Cloud IAM	Monitoring에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Trace에서의 Cloud IAM	Trace에서 Cloud IAM의 역할과 권한을 설명합니다.

다음 과정

사용자에게 Cloud IAM 역할을 부여하는 방법을 알아보세요.
커스텀 역할에 관해 알아보세요.