Cloud Marketplace 액세스 제어

이 페이지에서는 Cloud Marketplace에서 상용 솔루션을 구입하고 관리하는 데 필요한 ID 및 액세스 관리(IAM) 역할 및 권한에 대해 설명합니다.

IAM을 사용하면 누구(ID)에게 무슨 리소스에 대한 어떤 액세스 권한(역할)이 있는지 정의하여 액세스 제어를 관리할 수 있습니다. Cloud Marketplace의 상용 앱의 경우 Google Cloud 조직의 사용자는 Cloud Marketplace 요금제에 가입하고 결제 요금제를 변경하기 위해 IAM 역할이 필요합니다.

시작하기 전에

  • gcloud를 사용하여 Cloud Marketplace 역할 및 권한을 부여하려면 Cloud SDK를 설치합니다. 그렇지 않으면 Cloud Console을 사용하여 역할을 부여할 수 있습니다.

솔루션 구매 및 관리를 위한 IAM 역할

Cloud Marketplace에서 서비스를 구매하는 사용자에게 결제 관리자(roles/billing.admin) IAM 역할을 할당하는 것이 좋습니다.

서비스에 액세스하려는 사용자에게는 최소한 프로젝트 뷰어(roles/viewer) 역할이 있어야 합니다.

사용자 권한을 보다 세밀하게 제어해야 할 경우 부여하려는 권한이 포함된 커스텀 역할을 만들 수 있습니다.

IAM 역할 및 권한 목록

다음 IAM 역할 중 하나 이상을 사용자에게 부여할 수 있습니다. 사용자에게 부여하는 역할에 따라 Google Cloud 결제 계정, 조직, 프로젝트에도 역할을 할당해야 합니다. 자세한 내용은 사용자에게 IAM 역할 부여 섹션을 참조하세요.

역할 이름 설명 권한 최하위 리소스
roles/consumerprocurement.entitlementManager 소비자 조달 자격 관리자베타 소비자 프로젝트에 대해 자격을 관리하고 서비스 상태를 사용 설정, 사용 중지, 조사할 수 있습니다.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer 소비자 조달 자격 뷰어베타 소비자 프로젝트에 대해 자격 및 서비스 상태를 조사할 수 있습니다.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin 소비자 조달 주문 관리자베타 구매를 관리할 수 있습니다.
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer 소비자 조달 주문 뷰어베타 구매를 검사할 수 있습니다.
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

사용자에게 IAM 역할 부여

의 역할에서 consumerprocurement.orderAdminconsumerprocurement.orderViewer 역할은 결제 계정 또는 조직 수준에서 할당되어야 하고, consumerprocurement.entitlementManagerconsumerprocurement.entitlementViewer 역할은 프로젝트 또는 조직 수준에서 할당되어야 합니다.

gcloud를 사용하여 사용자에게 역할을 부여하려면 다음 명령어 중 하나를 실행합니다.

조직

조직 수준에서 역할을 할당하려면 resourcemanager.organizationAdmin 역할이 있어야 합니다.

gcloud organizations add-iam-policy-binding org-name \
--member=member --role=role-id

자리 표시자 값은 다음과 같습니다.

  • org-name: 역할을 부여할 조직입니다.
  • member: 액세스 권한을 부여할 사용자입니다.
  • role-id: 이전 표의 역할 ID입니다.

결제 계정

결제 계정 수준에서 역할을 할당하려면 billing.admin 역할이 있어야 합니다.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

자리 표시자 값은 다음과 같습니다.

  • account-id: 결제 계정 관리 페이지에서 확인할 수 있는 결제 계정 ID입니다.
  • policy-file: JSON 또는 YAML 형식의 IAM 정책 파일입니다. 정책 파일에는 이전 표의 역할 ID와 역할을 할당할 사용자가 포함되어야 합니다.

프로젝트

프로젝트 수준에서 역할을 할당하려면 resourcemanager.folderAdmin 역할이 있어야 합니다.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

자리 표시자 값은 다음과 같습니다.

  • project-id: 역할을 부여할 프로젝트입니다.
  • member: 액세스 권한을 부여할 사용자입니다.
  • role-id: 이전 표의 역할 ID입니다.

Cloud Console을 사용하여 사용자에게 역할을 부여하려면 사용자에 대한 액세스 권한 부여, 변경, 취소에 관한 IAM 문서를 참조하세요.

Cloud Marketplace로 커스텀 역할 사용

사용자에게 부여하는 권한을 세밀하게 제어하려면 부여할 권한이 포함된 커스텀 역할을 만들 수 있습니다.

Cloud Marketplace에서 서비스를 구매하는 사용자를 위한 커스텀 역할을 만드는 경우 역할에 다음 권한이 포함되어야 합니다.