역할 이해

ID가 Google Cloud Platform API를 호출하면 Google Cloud Identity and Access Management에서는 ID에 리소스를 사용할 적절한 권한이 있어야 합니다. 권한을 부여하려면 사용자, 그룹, 또는 서비스 계정에 역할을 부여하면 됩니다.

이 페이지에서는 Cloud Platform 리소스에 액세스하기 위해 ID에 부여할 수 있는 Cloud IAM 역할을 설명합니다.

이 가이드 관련 필수 조건

역할 유형

Cloud IAM에는 다음과 같은 세 가지 유형의 역할이 있습니다.

  • 기본 역할: Cloud IAM 도입 전에 존재했던 소유자, 편집자, 뷰어 역할을 포함합니다.
  • 사전 정의된 역할: 특정 서비스에 대한 세부적인 액세스를 제공하고 GCP에 의해 관리됩니다.
  • 커스텀 역할: 사용자 지정 권한 목록에 따라 세부적인 액세스를 제공합니다.

기본, 사전 정의, 또는 커스텀 역할에 1개 이상의 권한을 포함할지 결정하려면 다음과 같은 방법을 사용해야 합니다.

다음 섹션에서는 각 역할 유형을 설명하고 이를 사용하는 방법의 예시를 보여줍니다.

기본 역할

소유자, 편집자, 뷰어는 Cloud IAM 도입 전에도 존재했던 세 가지 역할입니다. 이 세 가지 역할의 권한은 동심원 형태로 겹칩니다. 즉, 소유자 역할에는 편집자 역할의 권한이 포함되며, 편집자 역할에는 뷰어 역할의 권한이 포함됩니다.

다음 표에서는 모든 GCP 서비스에서 기본 역할에 포함되는 권한을 간략히 확인할 수 있습니다.

기본 역할 정의

역할 이름 역할 칭호 권한
roles/viewer 뷰어 상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 부여됩니다. 예를 들면 기존 리소스 또는 데이터의 조회(수정 제외)가 여기에 해당합니다.
roles/editor 편집자 모든 뷰어 권한에 더해 기존 리소스 변경과 같이 상태를 변경하는 작업에 대한 권한까지 포함됩니다.
참고: roles/editor 역할에는 대부분의 GCP 서비스에 대한 리소스를 생성 또는 삭제할 권한이 부여되지만, 일부 서비스(Cloud Source Repositories 및 Stackdriver 등)에는 이러한 권한이 포함되지 않습니다. 역할에 필요한 권한이 부여되었는지 확인하려면 위 섹션을 확인하세요.
roles/owner 소유자 모든 편집자 권한 다음 작업에 대한 권한:
  • 프로젝트 및 프로젝트 내의 모든 리소스에 대한 역할 및 관리
  • 프로젝트에 대한 결제 설정
참고:
  • Cloud Pub/Sub 주제와 같은 리소스 수준의 소유자 역할을 부여한다고 해서 프로젝트의 소유자 역할까지 부여하지는 않습니다.
  • 소유자 역할에는 조직 리소스에 대한 어떠한 권한도 포함되지 않습니다. 따라서, 조직 수준에서 소유자 역할을 부여해도 메타데이터를 업데이트할 수는 없습니다. 하지만, 해당 조직 하의 프로젝트는 수정할 수 있습니다.

GCP 콘솔, API, gcloud 명령줄 도구를 사용해 프로젝트 또는 서비스 리소스 수준에서 기본 역할을 적용할 수 있습니다.

초대 흐름

Cloud IAM API 또는 gcloud 명령줄 도구를 사용해 프로젝트에 대한 소유자 역할을 구성원에게 부여할 수 없습니다. GCP Console을 사용해서만 소유자를 프로젝트에 추가할 수 있습니다. 구성원에게 이메일로 초대가 전송되며, 구성원은 초대를 수락해야만 프로젝트 소유자로 지정될 수 있습니다.

다음과 같은 경우에는 초대 이메일이 전송되지 않습니다.

  • 소유자가 아닌 다른 역할을 부여하는 경우
  • 조직 구성원이 조직의 다른 구성원을 해당 조직 내 프로젝트의 소유자로 추가하는 경우

사전 정의된 역할

기본 역할에 더해, Cloud IAM은 특정 Google Cloud Platform 리소스에 대한 세부적인 액세스를 제공하고 기타 리소스에 대한 무단 액세스는 방지하는 사전 정의된 역할을 추가로 제공합니다.

다음 표에서는 이러한 역할, 역할에 관한 설명, 해당 역할을 설정할 수 있는 최하위 수준 리소스 유형의 목록을 확인할 수 있습니다. 이러한 리소스 유형에는 특정 역할을 부여하거나, 또는 대부분의 경우 GCP 계층구조에서 해당 역할의 상위에 해당하는 모든 유형을 부여할 수 있습니다. 같은 사용자에 여러 역할을 부여할 수도 있습니다. 예를 들어, 한 사용자가 한 프로젝트의 네트워크 관리자와 로그 뷰어 역할을 가지고 해당 프로젝트 내의 Pub/Sub 주제에 대한 게시자 역할도 부여받을 수 있습니다. 역할에 포함된 권한 목록은 역할 메타데이터 보기에서 확인하세요.

프로젝트 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
browser
베타
브라우저 폴더, 조직, Cloud IAM을 포함한 프로젝트의 계층구조를 탐색할 수 있는 읽기 액세스입니다. 이 역할에는 프로젝트의 리소스를 볼 수 있는 권한이 제공되지 않습니다. 프로젝트
roles/
iam.serviceAccountActor
서비스 계정 행위자

이 역할은 지원이 중단되었습니다. 서비스 계정으로서 작업을 실행하려면 서비스 계정 사용자 역할을 사용해야 합니다. 서비스 계정 행위자로서 동일한 권한을 효과적으로 제공하려면 서비스 계정 토큰 생성자 권한도 부여해야 합니다.

서비스 계정

앱 엔진 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
appengine.appAdmin
App Engine 관리자 모든 애플리케이션 구성 및 설정에 대한 읽기/쓰기/수정 액세스입니다. 프로젝트
roles/
appengine.serviceAdmin
App Engine 서비스 관리자 모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다.
모듈 수준 및 버전 수준 설정에 대한 쓰기 액세스입니다. 새로운 버전은 배포할 수 없습니다.
프로젝트
roles/
appengine.deployer
App Engine 배포자 모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다.
새로운 버전 생성만 가능한 쓰기 액세스입니다. 트래픽을 수신하지 않는 버전을 삭제하는 경우를 제외하면 기존 버전을 수정할 수 없습니다.
프로젝트
roles/
appengine.appViewer
App Engine 뷰어 모든 애플리케이션 구성과 설정에 대한 읽기 전용 액세스입니다. 프로젝트
roles/
appengine.codeViewer
App Engine 코드 뷰어 모든 애플리케이션 구성, 설정 및 배포된 소스 코드에 대한 읽기 전용 액세스입니다. 프로젝트

BigQuery 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
bigquery.user
BigQuery 사용자 프로젝트 내에서 쿼리를 포함한 작업 실행에 대한 권한을 제공합니다. 이 사용자 역할은 자신의 작업을 열거하고, 자신의 작업을 취소하고, 프로젝트 내에서 데이터세트를 열거할 수 있습니다. 추가로, 프로젝트 내에서 새로운 데이터세트의 생성을 허용합니다. 생성자는 새로운 데이터세트에 대한 bigquery.dataOwner 역할이 부여됩니다. 프로젝트
roles/
bigquery.jobUser
BigQuery 작업 사용자 프로젝트 내에서 쿼리를 포함한 작업 실행에 대한 권한을 제공합니다. 이 작업 사용자 역할은 자신의 작업을 열거하고 자신의 작업을 취소할 수 있습니다. 프로젝트
roles/
bigquery.dataViewer
BigQuery 데이터 뷰어

데이터세트에 적용하면 dataViewer는 다음에 대한 권한을 제공합니다.

  • 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 작업
  • 데이터세트 테이블에서 데이터 및 메타데이터 읽기

프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 프로젝트의 모든 데이터세트를 열거할 수 있습니다. 하지만 작업 실행을 허용하려면 추가적인 역할이 필요합니다.

데이터세트
roles/
bigquery.dataEditor
BigQuery 데이터 편집자

데이터세트에 적용하면 dataEditor는 다음에 대한 권한을 제공합니다.

  • 데이터세트의 메타데이터를 읽고 데이터세트의 테이블을 열거하는 작업
  • 데이터세트 테이블 생성, 업데이트, 받기, 삭제

프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 새로운 데이터세트를 생성할 수 있습니다.

데이터세트
roles/
bigquery.dataOwner
BigQuery 데이터 소유자

데이터세트에 적용할 경우, dataOwner는 다음과 같은 권한을 제공합니다.

  • 데이터세트 읽기, 업데이트 및 삭제
  • 데이터세트 테이블 생성, 업데이트, 받기, 삭제

프로젝트 또는 조직 수준에 적용할 경우, 이 역할은 또한 새로운 데이터세트를 생성할 수 있습니다.

데이터세트
roles/
bigquery.admin
BigQuery 관리자 프로젝트 내에서 모든 리소스를 관리할 권한을 제공합니다. 프로젝트 내에서 모든 데이터를 관리할 수 있고 프로젝트 내에서 실행 중인 다른 사용자의 작업을 취소할 수 있습니다. 프로젝트

Cloud Bigtable 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
bigtable.admin
Cloud Bigtable 관리자 테이블 내에 저장된 데이터를 비롯하여 프로젝트 내의 모든 인스턴스를 관리합니다. 새 인스턴스를 만들 수 있습니다. 프로젝트 관리자용입니다. 인스턴스
roles/
bigtable.user
Cloud Bigtable 사용자 테이블 내에 저장된 데이터에 대한 읽기/쓰기 액세스를 제공합니다. 애플리케이션 개발자 또는 서비스 계정용입니다. 인스턴스
roles/
bigtable.reader
Cloud Bigtable 리더 테이블 내에 저장된 데이터에 대한 읽기 전용 액세스를 제공합니다. 데이터 과학자, 대시보드 생성기, 기타 데이터 분석 시나리오용입니다. 인스턴스
roles/
bigtable.viewer
Cloud Bigtable 뷰어 데이터 액세스를 제공하지 않습니다. Cloud Bigtable용 GCP 콘솔에 액세스하기 위한 최소 권한 집합으로 사용됩니다. 인스턴스

Cloud Billing 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
billing.admin
결제 계정 관리자 결제 계정의 모든 요소를 보고 관리하기 위한 액세스 권한을 제공합니다. 결제 계정
roles/
billing.projectManager
프로젝트 결제 관리자 프로젝트의 결제 계정을 할당하거나 프로젝트 결제를 사용 중지하는 액세스 권한을 제공합니다. 프로젝트
roles/
billing.user
결제 계정 사용자 프로젝트를 결제 계정과 연결하기 위한 액세스 권한을 제공합니다. 결제 계정
roles/
billing.creator
결제 계정 생성자 결제 계정 생성을 위한 액세스를 제공합니다. 프로젝트
roles/
billing.viewer
결제 계정 뷰어 결제 계정 비용 정보 및 거래를 봅니다. 조직
결제 계정

Cloud Dataflow 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
dataflow.viewer
Cloud Dataflow 뷰어 모든 Cloud Dataflow 관련 리소스에 대한 읽기 전용 액세스를 제공합니다. 프로젝트
roles/
dataflow.developer
Cloud Dataflow 개발자 Cloud Dataflow 작업을 실행 및 조작하는 데 필요한 모든 권한을 제공합니다. 프로젝트
roles/
dataflow.worker
Cloud Dataflow 작업자 Cloud Dataflow 파이프라인에 대한 작업 단위를 실행하기 위한 Compute Engine 서비스 계정에 필요한 권한을 제공합니다. 프로젝트

Cloud Dataproc 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
dataproc.editor
베타
Cloud Dataproc 편집기 머신 유형, 네트워크, 프로젝트 및 영역 등 Cloud Dataproc 관리에 필수적인 리소스를 보는 데 필요한 권한을 제공합니다. 프로젝트
roles/
dataproc.viewer
베타
Cloud Dataproc 뷰어 Cloud Dataproc 리소스에 대한 읽기 전용 액세스를 제공합니다. 프로젝트

Cloud Datastore 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
datastore.importExportAdmin
Cloud Datastore 가져오기 내보내기 관리자 가져오기 및 내보내기를 관리할 수 있는 전체 액세스 권한을 제공합니다. 프로젝트
roles/
datastore.indexAdmin
Cloud Datastore 색인 관리자 색인 정의를 관리할 수 있는 전체 액세스 권한을 제공합니다. 프로젝트
roles/
datastore.owner
Cloud Datastore 소유자 Cloud Datastore 리소스에 대한 전체 액세스 권한을 제공합니다. 프로젝트
roles/
datastore.user
Cloud Datastore 사용자 Cloud Datastore 데이터베이스의 데이터에 대한 읽기/쓰기 액세스를 제공합니다. 프로젝트
roles/
datastore.viewer
Cloud Datastore 뷰어 리소스에 대한 읽기 액세스 권한을 제공합니다. 프로젝트

Dialogflow 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
dialogflow.admin
Dialogflow API 관리자 모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 전체 액세스입니다. API 및 Dialogflow 콘솔(일반적으로 Dialogflow 콘솔에서 에이전트를 생성하기 위해 필요)에도 유사한 액세스를 확보하려면 roles/owner 기본 역할을 사용하세요. 프로젝트
roles/
dialogflow.client
Dialogflow API 클라이언트 모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 액세스를 수정합니다. API 및 Dialogflow 콘솔(일반적으로 Dialogflow 콘솔에서 에이전트를 생성하기 위해 필요)에도 유사한 액세스를 확보하려면 roles/editor 기본 역할을 사용하세요. 프로젝트
roles/
dialogflow.reader
Dialogflow API 리더 모든 Dialogflow(API 전용) 및 GCP 리소스에 대한 읽기 액세스입니다. 의도는 감지하지 못합니다. API 및 Dialogflow 콘솔에도 유사한 액세스 권한을 부여하려면 roles/viewer 기본 역할을 사용하세요. 프로젝트

Cloud DNS 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
dns.admin
DNS 관리자 모든 Cloud DNS에 대한 읽기 및 쓰기 액세스 권한을 제공합니다. 프로젝트
roles/
dns.reader
DNS 리더 모든 Cloud DNS 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트

Cloud KMS 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
cloudkms.admin
클라우드 KMS 관리자 Cloud KMS 리소스에 대한 전체 액세스를 제공합니다(암호화/복호화 작업 제외). CryptoKey
roles/
cloudkms.cryptoKeyEncrypterDecrypter
클라우드 KMS 암호화/복호화 암호화/복호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다. CryptoKey
roles/
cloudkms.cryptoKeyEncrypter
Cloud KMS 암호화 암호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다. CryptoKey
roles/
cloudkms.cryptoKeyDecrypter
Cloud KMS 복호화 복호화 작업 전용으로 Cloud KMS 리소스를 사용할 수 있는 기능을 제공합니다. CryptoKey

Cloud ML Engine 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
ml.admin
ML Engine 관리자 Cloud ML Engine 리소스 및 그 작업, 운영, 모델 및 버전에 대한 전체 액세스 권한을 제공합니다. 프로젝트
roles/
ml.developer
ML Engine 개발자 교육 및 예측을 위한 모델, 버전, 작업 생성과 온라인 예측 요청을 전송하기 위해 Cloud ML Engine 리소스를 사용할 수 있는 기능을 제공합니다. 프로젝트
roles/
ml.viewer
ML Engine 뷰어 Cloud ML Engine 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
ml.modelOwner
ML Engine 모델 소유자 모델 및 모델 버전에 대한 전체 액세스 권한을 제공합니다. 이 역할은 모델을 생성하는 사용자에게 자동으로 부여됩니다. 모델
roles/
ml.modelUser
ML Engine 모델 사용자 모델 및 모델 버전을 읽고 예측을 위해 사용할 수 있는 권한을 제공합니다. 모델
roles/
ml.jobOwner
ML Engine 작업 소유자 특정 작업 리소스에 대한 모든 권한에 대한 전체 액세스 권한을 제공합니다. 이 역할은 작업을 생성하는 사용자에게 자동으로 부여됩니다. 작업
roles/
ml.operationOwner
ML Engine 작업 소유자 특정 작업 리소스에 대한 모든 권한을 사용할 수 있는 전체 액세스 권한을 제공합니다. 작업

Cloud Pub/Sub 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
pubsub.publisher
게시/구독 게시자 주제에 메시지를 게시하기 위한 액세스 권한을 제공합니다. 주제
roles/
pubsub.subscriber
게시/구독 구독자 구독에서 메시지를 사용하고 주제에 구독을 연결하기 위한 액세스 권한을 제공합니다. 주제
roles/
pubsub.viewer
게시/구독 뷰어 주제와 구독을 보기 위한 액세스 권한을 제공합니다. 주제
roles/
pubsub.editor
게시/구독 편집자 주제 및 구독 항목을 수정하고, 메시지를 게시하고 사용하기 위한 액세스 권한을 제공합니다. 주제
roles/
pubsub.admin
게시/구독 관리자 주제 및 구독 항목에 대한 전체 액세스 권한을 제공합니다. 주제

Cloud Spanner 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
spanner.admin
Cloud Spanner 관리자 다른 주체에 대한 권한을 부여 또는 취소할 권한, 청구 가능한 리소스를 할당 및 삭제할 권한, 리소스에 대한 작업 획득/나열/열거를 발행할 권한, 데이터베이스 읽기/쓰기 권한, 프로젝트 메타데이터 가져오기 권한 등이 있습니다. 프로젝트
roles/
spanner.databaseAdmin
Cloud Spanner 데이터베이스 관리자 프로젝트에서 모든 Cloud Spanner 리소스를 획득/나열할 권한, 데이터베이스 생성/나열/삭제할 권한, 프로젝트 데이터베이스에 대한 액세스 권한 부여/취소, 프로젝트에서 모든 Cloud Spanner 데이터베이스에 대한 읽기/쓰기 권한 등이 있습니다. 프로젝트
roles/
spanner.databaseReader
Cloud Spanner 데이터베이스 리더 Cloud Spanner 데이터베이스에서 읽을 권한, 데이터베이스에서 SQL 쿼리를 실행하고 스키마를 볼 권한 등이 있습니다. 데이터베이스
roles/
spanner.databaseUser
Cloud Spanner 데이터베이스 사용자 Spanner 데이터베이스에서 읽고 쓸 권한, 데이터베이스에서 SQL 쿼리를 실행할 권한과 스키마를 보고 업데이트할 권한 등이 있습니다. 데이터베이스
roles/
spanner.viewer
Cloud Spanner 뷰어 모든 Cloud Spanner 인스턴스와 데이터베이스를 볼 수 있지만 이를 수정하거나 읽을 수는 없는 권한이 부여됩니다. 프로젝트

Cloud SQL 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
cloudsql.admin
Cloud SQL 관리자 Cloud SQL 리소스를 관리할 수 있는 전체 권한을 제공합니다. 프로젝트
roles/
cloudsql.editor
Cloud SQL 편집자 기존 Cloud SQL 인스턴스를 관리할 수 있는 전체 권한을 제공하지만 사용자 수정, SSL 인증서 수정, 리소스 삭제 권한은 제외됩니다. 프로젝트
roles/
cloudsql.viewer
Cloud SQL 뷰어 Cloud SQL 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
cloudsql.client
Cloud SQL 클라이언트 Cloud SQL 인스턴스에 대한 연결 액세스 권한을 제공합니다. 프로젝트

Cloud Storage 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
storage.objectCreator
저장소 객체 생성자 사용자에게 객체를 생성할 권한을 부여합니다. 객체를 삭제하거나 덮어쓰기할 권한은 부여하지 않습니다. 버킷
roles/
storage.objectViewer
저장소 객체 뷰어 객체 및 ACL을 제외한 객체의 메타데이터를 보기 위한 액세스 권한을 부여합니다. 버킷
roles/
storage.objectAdmin
저장소 객체 관리자 객체 전체 제어 권한을 부여합니다. 버킷
roles/
storage.admin
저장소 관리자 객체와 버킷에 대한 전체 제어 권한을 부여합니다. 버킷
roles/
storage.legacyObjectReader
기존 객체 리더 ACL을 제외한 객체 및 객체의 메타데이터를 볼 수 있습니다. 버킷
roles/
storage.legacyObjectOwner
기존 객체 소유자 storage.legacyObjectReader 역할이 있습니다.

또한 버킷의 메타데이터를 보고 편집할 수 있습니다. ACL 역시 포함되며, ACL은 Cloud IAM 정책으로 반환됩니다.

버킷
roles/
storage.legacyBucketReader
기존 버킷 리더 Cloud IAM 정책을 제외한 버킷의 콘텐츠를 나열하고 버킷 메타데이터를 읽을 수 있습니다. 또한 객체 메타데이터를 읽을 수 있으며, Cloud IAM 정책은 객체 나열 시 제외됩니다.

이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.

버킷
roles/
storage.legacyBucketWriter
기존 버킷 작성자 storage.legacyBucketReader 역할이 있습니다.

버킷에서 객체를 생성, 덮어쓰기, 삭제할 수 있습니다.

이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.

버킷
roles/
storage.legacyBucketOwner
기존 버킷 소유자 storage.legacyBucketWriter 역할이 있습니다.

또한 버킷 Cloud IAM 정책을 읽고 Cloud IAM 정책을 포함한 버킷 메타데이터를 편집할 수 있습니다.

이 역할의 사용은 버킷의 ACL에도 반영됩니다. 자세한 정보는 Cloud IAM과 ACL의 관련성에서 확인하세요.

버킷

Compute Engine 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
compute.instanceAdmin
베타
Compute 인스턴스 관리자

가상 머신 인스턴스를 생성, 수정, 삭제할 권한이 부여됩니다. 여기에는 디스크를 생성, 수정, 삭제할 권한이 포함됩니다.

사용자가 서비스 계정으로서 실행하도록 구성된 가상 머신 인스턴스를 관리하는 경우에는 roles/iam.serviceAccountUser 역할도 부여해야 합니다.

예를 들어, 가상 머신 인스턴스 그룹을 관리하지만 네트워크 또는 보안 설정은 관리하지 않으며 서비스 계정으로서 실행되는 인스턴스를 관리하지 않는 사람이 회사에 있는 경우 이 역할을 부여하면 됩니다.

프로젝트
roles/
compute.networkUser
Compute 네트워크 사용자

공유 VPC 네트워크에 대한 액세스 권한을 제공합니다.

허용되면 서비스 소유자는 호스트 프로젝트에 속한 VPC 네트워크와 서브넷을 사용할 수 있습니다. 예를 들어, 네트워크 사용자는 호스트 프로젝트 네트워크에 속하는 VM 인스턴스를 생성할 수 있지만 호스트 프로젝트에서 새로운 네트워크를 삭제 또는 생성할 수 없습니다.

프로젝트
roles/
compute.networkViewer
Compute 네트워크 뷰어

모든 네트워킹 리소스에 대한 읽기 전용 액세스 권한입니다.

예를 들어, 네트워크 구성을 검사하는 소프트웨어가 있는 경우, 해당 소프트웨어의 서비스 계정에 networkViewer 역할을 부여할 수 있습니다.

프로젝트
roles/
compute.networkAdmin
Compute 네트워크 관리자

방화벽 규칙과 SSL 인증서를 제외한 네트워킹 리소스를 생성, 수정, 삭제할 권한이 부여됩니다. 네트워크 관리자 역할에는 방화벽 규칙, SSL 인증서, 인스턴스에 대한 읽기 전용 액세스가 허용됩니다(임시 IP 주소를 보기 위한 목적). 네트워크 관리자 역할에는 인스턴스를 생성, 시작, 중지 또는 삭제할 권한이 없습니다.

예를 들어, 방화벽과 SSL 인증서를 관리하는 보안팀과 나머지 네트워킹 리소스를 관리하는 네트워킹팀이 회사에 있는 경우, 네트워킹팀의 그룹에 networkAdmin 역할을 부여하면 됩니다.

프로젝트
roles/
compute.securityAdmin
Compute 보안 관리자

방화벽 규칙과 SSL 인증서를 생성, 수정, 삭제할 권한이 있습니다.

예를 들어, 방화벽과 SSL 인증서를 관리하는 보안팀과 나머지 네트워킹 리소스를 관리하는 네트워킹팀이 회사에 있는 경우,보안팀의 그룹에 securityAdmin 역할을 부여하면 됩니다.

프로젝트
roles/
compute.imageUser
컴퓨팅 이미지 사용자

프로젝트의 리소스에 대한 다른 권한 없이 이미지를 나열하고 읽을 수 있는 권한입니다. compute.imageUser 역할을 부여하면 사용자는 프로젝트의 모든 이미지를 나열할 수 있게 되고 프로젝트의 이미지를 기반으로 인스턴스 및 영구 디스크 등의 리소스를 생성할 수 있게 됩니다.

프로젝트
roles/
compute.storageAdmin
베타
Compute Storage 관리자

디스크, 이미지, 스냅샷을 생성, 수정, 삭제할 권한이 있습니다.

예를 들어, 회사에 이미지 관리 담당자가 있지만 이들에게 프로젝트에 대한 편집자 역할은 주고 싶지 않은 경우, 이들의 계정에 storageAdmin 역할을 부여하면 됩니다.

프로젝트
roles/
compute.xpnAdmin
공유 VPC 관리자

공유 VPC 호스트 프로젝트를 관리할 권한이 있습니다. 구체적으로 프로젝트를 호스팅하고 공유 VPC 서비스 프로젝트를 호스트 프로젝트 네트워크에 연결할 수 있는 권한입니다.

조직 관리자만이 이 역할을 조직에 부여할 수 있습니다.

조직
roles/
compute.admin
베타
Compute 관리자

모든 Compute Engine 리소스를 관리할 수 있는 전체 권한입니다.

사용자가 서비스 계정으로서 실행하도록 구성된 가상 머신 인스턴스를 관리하는 경우에는 roles/iam.serviceAccountUser 역할도 부여해야 합니다.

프로젝트
roles/
compute.viewer
베타
Compute 뷰어

Compute Engine 리소스를 가져와 나열할 수 있지만 리소스에 저장된 데이터를 읽을 수는 없는 읽기 전용 액세스 권한입니다.

예를 들어, 이 역할을 부여받은 계정은 모든 디스크를 프로젝트에 목록화할 수 있지만 해당 디스크의 데이터는 전혀 읽을 수 없습니다.

프로젝트

Container Builder 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
cloudbuild.builds.editor
Container Builder 편집자 빌드를 생성 및 취소할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
cloudbuild.builds.viewer
Container Builder 뷰어 빌드를 볼 수 있는 액세스 권한을 제공합니다. 프로젝트

Kubernetes Engine 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
container.admin
Kubernetes Engine 관리자 컨테이너 클러스터 및 해당 Kubernetes API 객체를 전체 제어할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
container.clusterAdmin
Kubernetes Engine 클러스터 관리자 컨테이너 클러스터를 관리할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
container.developer
Kubernetes Engine 개발자 컨테이너 클러스터에 포함된 Kubernetes API 객체에 대한 전체 액세스 권한을 제공합니다. 프로젝트
roles/
container.viewer
Kubernetes Engine 뷰어 Kubernetes Engine 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트

Deployment Manager 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
deploymentmanager.viewer
배포 관리자 뷰어 배포 관리자 관련 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
deploymentmanager.editor
배포 관리자 편집자 배포를 생성 및 관리하는 데 필수적인 권한을 제공합니다. 프로젝트
roles/
deploymentmanager.typeViewer
배포 관리자 유형 뷰어 모든 유형 레지스트리 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
deploymentmanager.typeEditor
배포 관리자 유형 편집자 모든 유형 레지스트리 리소스에 대한 읽기 및 쓰기 액세스 권한을 제공합니다. 프로젝트

Cloud IAM 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
iam.organizationRoleAdmin
조직 역할 관리자 조직 및 조직에 속한 프로젝트의 모든 커스텀 역할을 관리할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
iam.roleAdmin
역할 관리자 프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다. 프로젝트
roles/
iam.organizationRoleViewer
조직 역할 뷰어 조직 및 조직에 속한 프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다. 프로젝트
roles/
iam.roleViewer
역할 뷰어 프로젝트의 모든 커스텀 역할에 대한 읽기 액세스 권한을 제공합니다. 프로젝트
roles/
iam.securityReviewer
보안 검토자 모든 리소스와 해당 리소스에 대한 Cloud IAM 정책을 나열할 수 있는 권한을 제공합니다. 프로젝트

Cloud IAP 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
iap.httpsResourceAccessor
IAP 보안 웹 앱 사용자 IAP(Identity-Aware Proxy)를 사용하는 HTTPS 리소스에 대한 액세스 권한을 제공합니다. 프로젝트

Resource Manager 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
orgpolicy.policyAdmin
조직 정책 관리자 조직 정책을 설정함으로써 조직에서 클라우드 리소스의 구성에 적용하려는 제한사항을 정의할 수 있는 액세스 권한을 제공합니다. 조직
roles/
resourcemanager.folderAdmin
폴더 관리자 폴더와 관련된 작업을 위해 사용 가능한 모든 권한을 제공합니다. 폴더
roles/
resourcemanager.folderCreator
폴더 생성자 계층구조를 찾아보고 폴더를 생성하는 데 필요한 권한을 제공합니다. 폴더
roles/
resourcemanager.folderEditor
폴더 편집자 폴더 수정 권한과 폴더의 Cloud IAM 정책을 볼 수 있는 권한을 제공합니다. 폴더
roles/
resourcemanager.folderIamAdmin
폴더 IAM 관리자 폴더에 대한 Cloud IAM 정책을 관리할 수 있는 권한을 제공합니다. 폴더
roles/
resourcemanager.folderMover
폴더 이동자 프로젝트와 폴더를 상위 조직 또는 폴더 안팎으로 이동시킬 수 있는 권한을 제공합니다. 폴더
roles/
resourcemanager.folderViewer
폴더 뷰어 리소스에 속한 폴더와 프로젝트를 가져와 나열할 수 있는 권한을 제공합니다. 폴더
roles/
resourcemanager.organizationViewer
조직 뷰어 조직을 볼 수 있는 액세스 권한을 제공합니다. 조직
roles/
resourcemanager.projectCreator
프로젝트 생성자 새로운 프로젝트를 생성할 수 있는 액세스 권한을 제공합니다. 사용자가 프로젝트를 생성하면 해당 사용자에게 해당 프로젝트의 소유자 역할이 자동으로 부여됩니다. 폴더
roles/
resourcemanager.projectDeleter
프로젝트 삭제자 GCP 프로젝트를 삭제할 수 있는 액세스 권한을 제공합니다. 조직
roles/
resourcemanager.projectIamAdmin
프로젝트 IAM 관리자 프로젝트에 대한 Cloud IAM 정책을 관리할 수 있는 권한을 제공합니다. 프로젝트
roles/
resourcemanager.lienModifier
프로젝트 선취권 수정자 프로젝트의 선취권을 수정할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
resourcemanager.projectMover
프로젝트 이동자 프로젝트를 업데이트하고 이동시킬 수 있는 액세스 권한을 제공합니다. 프로젝트

서비스 계정 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
iam.serviceAccountAdmin
서비스 계정 관리자 서비스 계정을 만들고 관리합니다. 서비스 계정
roles/
iam.serviceAccountKeyAdmin
서비스 계정 키 관리자 서비스 계정 키를 만들고, 관리하고, 순환할 수 있습니다. 서비스 계정
roles/
iam.serviceAccountTokenCreator
서비스 계정 토큰 생성자 OAuth2 액세스 토큰, 서명 blob, JWT 생성 등과 같이 서비스 계정을 가장하는 작업을 합니다. 서비스 계정
roles/
iam.serviceAccountUser
서비스 계정 사용자 서비스 계정으로서 작업을 실행합니다. 서비스 계정

서비스 관리 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
servicemanagement.serviceController
서비스 컨트롤러 서비스 사용량을 확인 및 보고하는 런타임의 관리 권한입니다. 프로젝트
roles/
servicemanagement.quotaAdmin
할당량 관리자 서비스 할당량을 관리할 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
servicemanagement.quotaViewer
할당량 뷰어 서비스 할당량을 볼 수 있는 액세스 권한을 제공합니다. 프로젝트

소스 저장소 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
source.admin
소스 저장소 관리자 저장소를 생성, 업데이트, 삭제, 나열, 수정, 복제, 가져오기, 찾아보기할 권한을 제공합니다. 또한 IAM 정책을 읽고 변경할 권한도 제공합니다. 프로젝트
roles/
source.reader
소스 저장소 리더 저장소를 나열, 복제, 가져오기, 찾아보기할 권한을 제공합니다. 프로젝트
roles/
source.writer
소스 저장소 작성자 저장소를 나열, 복제, 가져오기, 찾아보기, 업데이트할 권한을 제공합니다. 프로젝트

Stackdriver Debugger 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
clouddebugger.agent
Debugger 에이전트 디버그 대상을 등록하고 활성 중단점을 읽고 중단점 결과를 보고할 수 있는 권한을 제공합니다. 서비스 계정
roles/
clouddebugger.user
Debugger 사용자 중단점(스냅샷 및 로그 지점)을 생성, 조회, 나열, 삭제할 권한과 디버그 대상(debuggees)을 나열할 권한을 제공합니다. 프로젝트

Stackdriver Error Reporting 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
errorreporting.viewer
오류 보고 뷰어 오류 보고 데이터에 대한 읽기 전용 액세스를 제공합니다. 프로젝트
roles/
errorreporting.user
오류 보고 사용자 오류 보고 데이터 읽기/쓰기 권한(새로운 오류 이벤트 전송하는 경우 제외)을 제공합니다. 프로젝트
roles/
errorreporting.writer
Error Reporting 작성자 오류 보고에 오류 이벤트를 전송할 권한을 제공합니다. 서비스 계정
roles/
errorreporting.admin
Error Reporting 관리자 오류 보고 데이터에 전체 액세스를 제공합니다. 프로젝트

Stackdriver Logging 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
logging.viewer
로그 뷰어 로그를 볼 수 있는 액세스 권한을 제공합니다. 프로젝트
roles/
logging.logWriter
로그 작성자 로그 항목을 쓸 수 있는 권한을 제공합니다. 프로젝트
roles/
logging.privateLogViewer
비공개 로그 뷰어 로그 뷰어 역할에 대한 권한을 제공하고 추가로 비공개 로그에서 로그 항목에 대한 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
logging.configWriter
로그 구성 작성자 로그 기반 측정항목 구성과 로그 내보내기에 대한 싱크를 읽기/쓰기할 권한을 제공합니다. 프로젝트
roles/
logging.admin
로깅 관리자 Stackdriver Logging의 모든 기능을 사용하는 데 필수적인 모든 권한을 제공합니다. 프로젝트

Stackdriver Monitoring 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
monitoring.viewer
모니터링 뷰어 모든 모니터링 데이터 및 구성에 관한 정보를 가져와 나열할 수 있는 읽기 전용 액세스 권한을 제공합니다. 프로젝트
roles/
monitoring.metricWriter
모니터링 측정항목 작성자 측정항목에 대한 쓰기 전용 액세스 권한을 제공합니다. 측정항목을 전송하는 Stackdriver 에이전트와 기타 시스템에 필요한 권한을 정확히 제공합니다. 프로젝트
roles/
monitoring.editor
모니터링 편집자 데이터 모니터링과 구성에 관한 모든 정보에 대한 전체 액세스 권한을 제공합니다. 프로젝트
roles/
monitoring.admin
모니터링 관리자 roles/monitoring.editor와 동일한 액세스 권한을 제공합니다. 프로젝트

Stackdriver Trace 역할

역할 이름 역할 칭호 설명 최하위 리소스 유형
roles/
cloudtrace.agent
Cloud 추적 에이전트 서비스 계정용입니다. Stackdriver Trace에 데이터를 전송함으로써 추적을 쓸 수 있는 기능을 제공합니다. 프로젝트
roles/
cloudtrace.user
Cloud 추적 사용자 Trace 콘솔에 대한 전체 액세스 권한과 추적에 대한 읽기 액세스 권한을 제공합니다. 프로젝트
roles/
cloudtrace.admin
Cloud Trace 관리자 Trace 콘솔에 대한 전체 액세스 권한과 추적에 대한 쓰기 액세스 권한을 제공합니다. 프로젝트

커스텀 역할

사전 정의된 역할에 더해 Cloud IAM은 또한 커스텀 Cloud IAM 역할을 생성할 수 있는 기능을 제공합니다. 1개 이상의 권한을 가진 커스텀 Cloud IAM 역할을 생성하고 해당 커스텀 역할을 조직에 속한 사용자에게 부여할 수 있습니다. 자세한 내용은 커스텀 역할 이해커스텀 역할 생성 및 관리에서 확인하세요.

제품별 Cloud IAM 문서

제품별 Cloud IAM 문서에는 각 제품에서 제공하는 사전 정의된 역할에 관한 더욱 자세한 설명이 담겨 있습니다. 사전 정의된 역할에 관해 자세히 알아보려면 다음 페이지를 읽어보세요.

문서 설명
App Engine에서의 Cloud IAM App Engine에서 Cloud IAM의 역할을 설명합니다.
BigQuery에서의 Cloud IAM BigQuery에서 Cloud IAM의 역할을 설명합니다.
Cloud Bigtable에서의 Cloud IAM Cloud Bigtable에서 Cloud IAM의 역할을 설명합니다.
Cloud Billing API에서의 Cloud IAM Cloud Billing API에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Dataflow에서의 Cloud IAM Cloud Dataflow에서 Cloud IAM의 역할을 설명합니다.
Cloud Dataproc에서의 Cloud IAM Cloud Dataproc에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Datastore에서의 Cloud IAM Cloud Datastore에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud DNS에서의 Cloud IAM Cloud DNS에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud KMS에서의 Cloud IAM Cloud KMS에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud ML Engine에서의 Cloud IAM Cloud ML Engine에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud Pub/Sub에서의 Cloud IAM Cloud Pub/Sub에서 Cloud IAM의 역할을 설명합니다.
Cloud Spanner에서의 Cloud IAM Cloud Spanner에서 Cloud IAM의 역할과 권한을 설명합니다.
Cloud SQL에서의 Cloud IAM Cloud SQL에서 Cloud IAM의 역할을 설명합니다.
Cloud Storage에서의 Cloud IAM Cloud Storage에서 Cloud IAM의 역할을 설명합니다.
Compute Engine에서의 Cloud IAM Compute Engine에서 Cloud IAM의 역할을 설명합니다.
Kubernetes Engine에서의 Cloud IAM Kubernetes Engine에서 Cloud IAM의 역할과 권한을 설명합니다.
Deployment Manager에서의 Cloud IAM Deployment Manager에서 Cloud IAM의 역할과 권한을 설명합니다.
조직에서의 Cloud IAM 조직에서 Cloud IAM의 역할을 설명합니다.
프로젝트에서의 Cloud IAM 프로젝트에서 Cloud IAM의 역할을 설명합니다.
서비스 관리에서의 Cloud IAM Service Management에서 Cloud IAM의 역할과 권한을 설명합니다.
Stackdriver Debugger에서의 Cloud IAM Debugger에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Logging에서의 Cloud IAM Logging에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Monitoring에서의 Cloud IAM Monitoring에서 Cloud IAM의 역할을 설명합니다.
Stackdriver Trace에서의 Cloud IAM Trace에서 Cloud IAM의 역할과 권한을 설명합니다.

다음 과정

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Cloud ID 및 액세스 관리 문서