IAM으로 액세스 제어

이 페이지에서는 Identity and Access Management(IAM)를 사용하여 Memorystore for Memcached의 프로젝트 액세스 및 권한을 제어하는 방법을 설명합니다.

개요

IAM을 사용하면 특정 Google Cloud 리소스에 대한 세부적인 액세스를 제어할 수 있으며 이러한 리소스에 대한 무단 액세스도 방지할 수 있습니다. 역할 및 권한에 관한 자세한 내용은 IAM 문서를 참조하세요.

Memorystore for Memcached는 Memcached 리소스에 대한 액세스를 쉽게 제어할 수 있도록 사전 정의된 역할 모음을 제공합니다. 사전 정의된 역할이 필요한 권한 집합을 제공하지 않으면 커스텀 역할을 만들 수도 있습니다. 또한 기존의 기본 역할(편집자, 뷰어, 소유자)은 계속 제공되지만, Memorystore for Memcached 역할처럼 세부적인 제어 기능을 제공하지는 않습니다. 특히 기본 역할은 Memorystore for Memcached가 아닌 Google Cloud의 리소스에 대한 액세스를 제공합니다. 기본 역할에 대한 자세한 내용은 기본 역할을 참조하세요.

권한 및 역할

이 섹션에서는 Memorystore for Memcached에서 지원하는 권한과 역할을 요약합니다.

사전 정의된 역할

Memorystore for Memcached는 주 구성원에 세분화된 권한을 제공하는 데 사용할 수 있는 사전 정의된 역할을 제공합니다. 주 구성원에게 부여하는 역할은 해당 주 구성원이 실행할 수 있는 작업을 제어합니다. 주 구성원은 개인, 그룹, 서비스 계정이 될 수 있습니다.

동일한 주 구성원에 역할을 여러 개 부여할 수 있으며 언제든지 역할을 변경할 수 있습니다.

폭넓은 역할일수록 범위가 더 좁게 정의됩니다. 예를 들어 Memcached 편집자 역할은 Memcached 뷰어 역할의 모든 권한에 추가로 Memcached 편집자 역할의 권한까지 포함합니다. 마찬가지로 Memcached 관리자 역할은 Memcached 편집자 역할의 모든 권한에 추가로 관리자 권한까지 포함합니다.

기본 역할(소유자, 편집자, 뷰어)은 Google Cloud 전반에 대한 권한을 제공합니다. Memorystore for Memcached와 관련된 역할은 일반적인 Google Cloud 사용에 필요한 다음 Google Cloud 권한을 제외하고 Memorystore for Memcached 권한만 제공합니다.

resourcemanager.projects.get
resourcemanager.projects.list

다음 표에는 Memorystore for Memcached에 사용할 수 있는 사전 정의된 역할과 해당 Memorystore for Memcached 권한이 나와 있습니다.

역할	이름	Memcached 권한	설명
`roles/owner`	소유자	`memcache.*`	Google Cloud의 모든 리소스에 대한 전체 액세스 및 제어, 사용자 액세스 관리
`roles/editor`	편집자	`*.getIamPolicy` 및 `.setIamPolicy`를 제외한 모든 `memcache` 권한	모든 Google Cloud 및 Memcached 리소스에 대한 읽기-쓰기 액세스 권한(권한 수정 기능을 제외한 전체 제어 권한)
`roles/viewer`	뷰어	`memcache..get memcache..list`	Memcached 리소스를 포함한 모든 Google Cloud 리소스에 대한 읽기 전용 액세스 권한
`roles/memcache.admin`	Memcached 관리자	`memcache.*`	모든 Memorystore for Memcached 리소스에 대한 전체 제어 권한
`roles/memcache.editor`	Memcached 편집자	다음을 제외한 모든 `memcache` 권한 `memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	Memorystore for Memcached 인스턴스 관리 인스턴스를 만들거나 삭제할 수 없습니다.
`roles/memcache.viewer`	Memcached 뷰어	다음을 제외한 모든 `memcache` 권한 `memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	모든 Memorystore for Memcached 리소스에 대한 읽기 전용 액세스 권한

권한과 권한의 역할

다음 표에는 Memorystore for Memcached가 지원하는 권한과 그 권한을 포함하는 MMemorystore for Memcached 역할이 나와 있습니다.

권한	Memcached 역할	기본 역할
`memcache.instances.list`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.instances.get`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.instances.create`	Memcached 관리자	작성자
`memcache.instances.update`	Memcached 관리자 Memcached 편집자	작성자
`memcache.instances.delete`	Memcached 관리자	작성자
`memcache.instances.applyParameters`	Memcached 관리자 Memcached 편집자	작성자
`memcache.instances.updateParameters`	Memcached 관리자 Memcached 편집자	작성자
`memcache.instances.applySoftwareUpdate`	Memcached 관리자 Memcached 편집자	작성자
`memcache.instances.upgrade`	Memcached 관리자	작성자
`memcache.locations.list`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.locations.get`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.operations.list`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.operations.get`	Memcached 관리자 Memcached 편집자 Memcached 뷰어	리더
`memcache.operations.delete`	Memcached 관리자 Memcached 편집자	작성자

커스텀 역할

사전 정의된 역할로 사용자 고유의 비즈니스 요구사항이 해결되지 않는 경우 권한을 지정하여 자신만의 커스텀 역할을 정의할 수 있습니다. Memorystore for Memcached의 커스텀 역할을 만들 때 resourcemanager.projects.get 및 resourcemanager.projects.list를 모두 포함해야 합니다. 자세한 내용은 권한 종속 항목을 참조하세요.

Google Cloud 콘솔에서 일반적인 작업에 필요한 권한

사용자가 Google Cloud 콘솔을 사용하여 Memorystore for Memcached를 사용하도록 설정하려면 사용자 역할에 resourcemanager.projects.get 및 resourcemanager.projects.list 권한이 포함되어야 합니다.

다음 표에서는 Google Cloud 콘솔에서 일반적인 태스크에 필요한 다른 권한을 제공합니다.

태스크	필요한 추가 권한
인스턴스 목록 페이지 표시	`memcache.instances.get memcache.instances.list`
인스턴스 만들기 및 편집	`memcache.instances.create memcache.instances.get memcache.instances.list memcache.instances.update memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate compute.networks.list`
인스턴스 삭제	`memcache.instances.delete memcache.instances.get memcache.instances.list`
Cloud Shell에서 인스턴스에 연결	`memcache.instances.get memcache.instances.list memcache.instances.update`
인스턴스의 Memcached 버전 업그레이드	`memcache.instances.upgrade`
인스턴스 정보 보기	`memcache.instances.get monitoring.timeSeries.list`

gcloud 명령어에 필요한 권한

사용자가 gcloud 명령어를 사용하여 Memorystore for Memcached를 사용하도록 하려면 사용자 역할에 resourcemanager.projects.get 및 resourcemanager.projects.list 권한이 포함되어 있어야 합니다.

다음 표에는 gcloud 명령어를 호출하는 사용자가 각 gcloud memcache 하위 명령어에 대해 갖고 있어야 하는 권한 목록이 나와 있습니다.

명령	필수 권한
`gcloud memcache instances create`	`memcache.instances.get memcache.instances.create`
`gcloud memcache instances delete`	`memcache.instances.delete`
`gcloud memcache instances update`	`memcache.instances.get memcache.instances.update memcache.instances.updateParameters`
`gcloud memcache instances upgrade`	`memcache.instances.upgrade`
`gcloud memcache instances list`	`memcache.instances.list`
`gcloud memcache instances describe`	`memcache.instances.get`
`gcloud memcache instances apply-parameters`	`memcache.instances.applyParameters`
`gcloud beta memcache instances apply-software-update`	`memcache.instances.applySoftwareUpdate`
`gcloud memcache operations list`	`memcache.operations.list`
`gcloud memcache operations describe`	`memcache.operations.get`
`gcloud memcache regions list`	`memcache.locations.list`
`gcloud memcache regions describe`	`memcache.locations.get`
`gcloud memcache zones list`	`memcache.locations.list`

API 메서드에 필요한 권한

다음 표에는 사용자가 Memorystore for Memcached API에서 각 메서드를 호출하거나 이 API를 사용하는 Google Cloud 도구(예: Google Cloud 콘솔 또는 gcloud 명령줄 도구)를 사용하여 태스크를 수행하는 데 필요한 권한이 나와 있습니다.

방법	필수 권한
`locations.get`	`memcache.locations.get`
`locations.list`	`memcache.locations.list`
`instances.create`	`memcache.instances.create`
`instances.delete`	`memcache.instances.delete`
`instances.get`	`memcache.instances.get`
`instances.upgrade`	`memcache.instances.upgrade`
`instances.list`	`memcache.instances.list`
`instances.patch`	`memcache.instances.update`
`instances.updateParameters`	`memcache.instances.updateParameters`
`instances.applyParameters`	`memcache.instances.applyParameters`
`instances.applySoftwareUpdate`	`memcache.instances.applySoftwareUpdate`
`operations.get`	`memcache.operations.get`
`operations.list`	`memcache.operations.list`

유지보수 정책 권한

아래 표에서는 Memcache용 Memorystore의 유지보수 정책을 관리하는 데 필요한 권한을 보여줍니다.

권한 필요	유지보수 정책이 사용 설정된 Memorystore 인스턴스 만들기	기존 Memorystore 인스턴스의 유지보수 정책 만들기 또는 수정	유지보수 정책 설정 보기	유지보수 재예약
`memcache.instances.create`	✓	X	X	X
`memcache.instances.update`	X	✓	X	X
`memcache.instances.get`	X	X	✓	X
`memcache.instances.rescheduleMaintenance`	X	X	X	✓

다음 단계

Memcached 인스턴스 모니터링
Memcached 인스턴스의 감사 로그보기