IAM으로 액세스 제어

이 페이지에서는 인프라 관리자 역할과 권한에 대해 설명합니다.

인프라 관리자는 Identity and Access Management (IAM)를 사용하여 서비스에 대한 액세스를 제어합니다. Infra Manager로 리소스를 배포할 액세스 권한을 부여하려면 Infra Manager를 호출하는 데 사용하는 서비스 계정에 필요한 Infra Manager IAM 역할을 할당하세요. 서비스 계정에 권한을 부여하는 방법에 대한 자세한 내용은 서비스 계정에 대한 액세스 관리를 참고하세요.

서비스 계정은 인프라 관리자 배포, 버전, IAM 정책을 보는 데 필요하지 않습니다. 인프라 관리자를 보려면 사용자, 그룹 또는 서비스 계정에 액세스 권한을 부여하세요.

Terraform 구성에 정의된 Google Cloud 리소스를 배포하거나 보려면 이러한 리소스와 관련된 서비스 계정 권한을 부여해야 합니다. 이러한 권한은 이 페이지에 나열된 인프라 관리자 권한 외에 추가로 부여됩니다. 모든 역할과 역할에 포함된 권한의 목록은 Identity and Access Management 기본 및 사전 정의된 역할 참조를 참고하세요.

사전 정의된 인프라 관리자 역할

IAM은 특정 Google Cloud 리소스에 대한 액세스 권한을 부여하고 다른 리소스에 승인되지 않은 액세스를 방지하는 사전 정의된 역할을 제공합니다.

다음 표에는 인프라 관리자 IAM 역할과 여기에 포함된 권한이 나와 있습니다.

역할	설명	권한
인프라 관리자 관리자 (roles/config.admin)	사용자의 경우 Infra Manager 리소스에 대한 전체 제어 권한	config.deployments.create config.deployments.delete config.deployments.deleteState config.deployments.get config.deployments.getIamPolicy config.deployments.getLock config.deployments.getState config.deployments.list config.deployments.lock config.deployments.setIamPolicy config.deployments.unlock config.deployments.update config.deployments.updateState config.previews.create config.previews.delete config.previews.get config.previews.list config.previews.export config.previews.upload config.locations.get config.locations.list config.operations.cancel config.operations.delete config.operations.get config.operations.list config.resources.get config.resources.list config.resourcechanges.get config.resourcechanges.list config.resourcedrifts.get config.resourcedrifts.list config.revisions.get config.revisions.getState config.revisions.list config.artifacts.import config.terraformversions.get config.terraformversions.list resourcemanager.projects.get resourcemanager.projects.list
Infra Manager 서비스 에이전트 (roles/config.agent)	배포, 수정사항, 로깅, Terraform 상태 파일 등 Infra Manager를 사용할 서비스 계정에 대한 액세스 권한을 제공합니다.	storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete logging.logEntries.create config.deployments.getState config.deployments.updateState config.deployments.deleteState config.deployments.getLock config.previews.upload config.artifacts.import config.revisions.getState cloudbuild.connections.list cloudbuild.repositories.accessReadToken cloudbuild.repositories.list cloudquotas.quotas.get monitoring.timeSeries.list
인프라 관리자 서비스 계정 (roles/cloudconfig.serviceAgent)	Infra Manager API를 사용 설정하면 Infra Manager 서비스 계정이 프로젝트에 자동으로 생성되고 프로젝트의 리소스에 대해 이 역할이 부여됩니다. 인프라 관리자 서비스 계정은 배포 및 버전 생성, 관리, 삭제 시 작업을 수행하는 데 필요한 경우에만 이 역할을 사용합니다.	cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.create cloudbuild.builds.update cloudbuild.workerpools.use iam.serviceAccounts.actAs iam.serviceAccounts.getAccessToken logging.logEntries.create logging.logEntries.route serviceusage.services.use storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete
인프라 관리자 뷰어 (roles/config.viewer)	배포, 버전, IAM 정책을 읽습니다.	config.deployments.get config.deployments.getIamPolicy config.deployments.list config.previews.get config.previews.list config.locations.get config.locations.list config.operations.get config.operations.list config.resources.get config.resources.list config.revisions.get config.revisions.list config.terraformversions.get config.terraformversions.list resourcemanager.projects.get resourcemanager.projects.list

Infra Manager 사전 정의된 역할 외에 기본 뷰어 및 소유자 역할에도 Infra Manager와 관련된 권한이 포함됩니다. 하지만 가능한 한 최소 권한의 보안 원칙에 맞게 사전 정의된 역할을 부여하는 것이 좋습니다.

다음 표에는 기본 역할과 여기에 포함된 Infra Manager IAM 역할이 나와 있습니다.

역할	포함된 역할
뷰어	roles/config.viewer
소유자	roles/config.admin

권한

호출자가 각 메서드를 호출하는 데 필요한 권한은 REST API 참조에 나와 있습니다.

다음 단계

• IAM에 대해 알아봅니다.
• IAM에서 조건 사용 자세히 알아보기
• Infra Manager 서비스 계정에 대해 자세히 알아보세요.