IAM으로 액세스 제어

이 페이지에서는 Identity and Access Management(IAM)를 사용하여 Memorystore for Memcached의 프로젝트 액세스 및 권한을 제어하는 방법을 설명합니다.

개요

IAM을 사용하면 특정 Google Cloud 리소스에 대한 세부적인 액세스를 제어할 수 있으며 이러한 리소스에 대한 무단 액세스도 방지할 수 있습니다. 역할 및 권한에 관한 자세한 내용은 IAM 문서를 참조하세요.

Memorystore for Memcached는 Memcached 리소스에 대한 액세스를 쉽게 제어할 수 있도록 사전 정의된 역할 모음을 제공합니다. 사전 정의된 역할이 필요한 권한 집합을 제공하지 않으면 커스텀 역할을 만들 수도 있습니다. 또한 기존의 기본 역할(편집자, 뷰어, 소유자)은 계속 제공되지만, Memorystore for Memcached 역할처럼 세부적인 제어 기능을 제공하지는 않습니다. 특히 기본 역할은 Memorystore for Memcached가 아닌 Google Cloud의 리소스에 대한 액세스를 제공합니다. 기본 역할에 대한 자세한 내용은 기본 역할을 참조하세요.

권한 및 역할

이 섹션에서는 Memorystore for Memcached에서 지원하는 권한과 역할을 요약합니다.

사전 정의된 역할

Memorystore for Memcached는 주 구성원에 세분화된 권한을 제공하는 데 사용할 수 있는 사전 정의된 역할을 제공합니다. 주 구성원에게 부여하는 역할은 해당 주 구성원이 실행할 수 있는 작업을 제어합니다. 주 구성원은 개인, 그룹, 서비스 계정이 될 수 있습니다.

동일한 주 구성원에 역할을 여러 개 부여할 수 있으며 언제든지 역할을 변경할 수 있습니다.

폭넓은 역할일수록 범위가 더 좁게 정의됩니다. 예를 들어 Memcached 편집자 역할은 Memcached 뷰어 역할의 모든 권한에 추가로 Memcached 편집자 역할의 권한까지 포함합니다. 마찬가지로 Memcached 관리자 역할은 Memcached 편집자 역할의 모든 권한에 추가로 관리자 권한까지 포함합니다.

기본 역할(소유자, 편집자, 뷰어)은 Google Cloud 전반에 대한 권한을 제공합니다. Memorystore for Memcached와 관련된 역할은 일반적인 Google Cloud 사용에 필요한 다음 Google Cloud 권한을 제외하고 Memorystore for Memcached 권한만 제공합니다.

resourcemanager.projects.get
resourcemanager.projects.list

다음 표에는 Memorystore for Memcached에 사용할 수 있는 사전 정의된 역할과 해당 Memorystore for Memcached 권한이 나와 있습니다.

역할 이름 Memcached 권한 설명

roles/owner

소유자

memcache.*

Google Cloud의 모든 리소스에 대한 전체 액세스 및 제어, 사용자 액세스 관리

roles/editor

편집자 *.getIamPolicy.setIamPolicy를 제외한 모든 memcache 권한 모든 Google Cloud 및 Memcached 리소스에 대한 읽기-쓰기 액세스 권한(권한 수정 기능을 제외한 전체 제어 권한)

roles/viewer

뷰어

memcache.*.get memcache.*.list

Memcached 리소스를 포함한 모든 Google Cloud 리소스에 대한 읽기 전용 액세스 권한

roles/memcache.admin

Memcached 관리자

memcache.*

모든 Memorystore for Memcached 리소스에 대한 전체 제어 권한

roles/memcache.editor

Memcached 편집자 다음을 제외한 모든 memcache 권한

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Memorystore for Memcached 인스턴스 관리 인스턴스를 만들거나 삭제할 수 없습니다.

roles/memcache.viewer

Memcached 뷰어 다음을 제외한 모든 memcache 권한

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade

모든 Memorystore for Memcached 리소스에 대한 읽기 전용 액세스 권한

권한과 권한의 역할

다음 표에는 Memorystore for Memcached가 지원하는 권한과 그 권한을 포함하는 MMemorystore for Memcached 역할이 나와 있습니다.

권한 Memcached 역할 기본 역할

memcache.instances.list

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.instances.get

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.instances.create

Memcached 관리자 작성자

memcache.instances.update

Memcached 관리자
Memcached 편집자
작성자

memcache.instances.delete

Memcached 관리자 작성자

memcache.instances.applyParameters

Memcached 관리자
Memcached 편집자
작성자

memcache.instances.updateParameters

Memcached 관리자
Memcached 편집자
작성자

memcache.instances.applySoftwareUpdate

Memcached 관리자
Memcached 편집자
작성자

memcache.instances.upgrade

Memcached 관리자 작성자

memcache.locations.list

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.locations.get

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.operations.list

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.operations.get

Memcached 관리자
Memcached 편집자
Memcached 뷰어
리더

memcache.operations.delete

Memcached 관리자
Memcached 편집자
작성자

커스텀 역할

사전 정의된 역할로 사용자 고유의 비즈니스 요구사항이 해결되지 않는 경우, 권한을 지정하여 자신만의 커스텀 역할을 정의할 수 있습니다. Memorystore for Memcached의 커스텀 역할을 만들 때 resourcemanager.projects.getresourcemanager.projects.list를 모두 포함해야 합니다. 자세한 내용은 권한 종속 항목을 참조하세요.

Google Cloud 콘솔에서 일반적인 작업에 필요한 권한

사용자가 Google Cloud 콘솔을 사용하여 Memorystore for Memcached를 사용하도록 설정하려면 사용자 역할에 resourcemanager.projects.getresourcemanager.projects.list 권한이 포함되어야 합니다.

다음 표에서는 Google Cloud 콘솔에서 일반적인 태스크에 필요한 다른 권한을 제공합니다.

작업 필요한 추가 권한
인스턴스 목록 페이지 표시

memcache.instances.get
memcache.instances.list

인스턴스 만들기 및 편집

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

인스턴스 삭제

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Cloud Shell에서 인스턴스에 연결

memcache.instances.get
memcache.instances.list
memcache.instances.update

인스턴스의 Memcached 버전 업그레이드

memcache.instances.upgrade

인스턴스 정보 보기

memcache.instances.get
monitoring.timeSeries.list

gcloud 명령어에 필요한 권한

사용자가 gcloud 명령어를 사용하여 Memorystore for Memcached를 사용하도록 하려면 사용자 역할에 resourcemanager.projects.getresourcemanager.projects.list 권한이 포함되어 있어야 합니다.

다음 표에는 gcloud 명령어를 호출하는 사용자가 각 gcloud memcache 하위 명령어에 대해 갖고 있어야 하는 권한 목록이 나와 있습니다.

명령어 필수 권한
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances upgrade

memcache.instances.upgrade

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

API 메서드에 필요한 권한

다음 표에는 사용자가 Memorystore for Memcached API에서 각 메서드를 호출하거나 이 API를 사용하는 Google Cloud 도구(예: Google Cloud 콘솔 또는 gcloud 명령줄 도구)를 사용하여 태스크를 수행하는 데 필요한 권한이 나와 있습니다.

방법 필수 권한

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.upgrade

memcache.instances.upgrade

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

유지보수 정책 권한

아래 표에서는 Memcache용 Memorystore의 유지보수 정책을 관리하는 데 필요한 권한을 보여줍니다.

권한 필요 유지보수 정책이 사용 설정된 Memorystore 인스턴스 만들기 기존 Memorystore 인스턴스의 유지보수 정책 만들기 또는 수정 유지보수 정책 설정 보기 유지보수 재예약
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

다음 단계