Monitoring을 사용하려면 적절한 Identity and Access Management(IAM) 권한이 있어야 합니다. 일반적으로 한 API의 REST 메서드마다 연결된 권한이 하나씩 있습니다. 이 메서드 또는 이 메서드를 사용하는 콘솔 기능을 사용하려면 해당 메서드를 사용할 수 있는 권한이 있어야 합니다. 권한은 사용자에게 직접 부여되지 않습니다. 대신 역할을 통해 간접적으로 부여되며 역할에 따라 여러 권한이 그룹화되기 때문에 관리가 더욱 쉬워집니다.
- 액세스 제어에 대한 자세한 내용은 액세스 관리와 관련된 개념을 참고하세요.
- 주 구성원에 역할을 부여하는 방법은 Cloud Monitoring에 액세스 부여를 참조하세요.
일반적인 권한 조합의 역할은 사전 정의되어 있습니다. 하지만 IAM 커스텀 역할을 만들어 자체적인 권한 조합을 만들 수도 있습니다.
권장사항
Google Cloud 프로젝트에 대한 액세스 관리를 위해 Google 그룹을 만드는 것이 좋습니다.
- 자세한 내용은 Google Cloud 콘솔에서 그룹 관리를 참조하세요.
- 역할의 한도 설정에 대한 자세한 내용은 역할 부여 한도 설정을 참조하세요.
- IAM 역할 및 권한의 전체 목록은 IAM 기본 및 사전 정의된 역할 참조를 참고하세요.
VPC 서비스 제어
모니터링 데이터에 대한 액세스를 추가로 제어하려면 IAM 외에 VPC 서비스 제어를 사용하세요.
VPC 서비스 제어는 Cloud Monitoring의 보안을 강화하여 데이터 유출 위험을 줄입니다. VPC 서비스 제어를 사용하면 경계 외부에서 시작되는 요청으로부터 Cloud Monitoring 리소스 및 서비스를 보호하는 서비스 경계에 측정항목 범위를 추가할 수 있습니다.
서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 서비스 경계 구성 문서를 참조하세요.
알려진 제한사항을 포함하여 VPC 서비스 제어에 대한 Monitoring 지원 관련 정보는 Monitoring VPC 서비스 제어 문서를 참조하세요.
Cloud Monitoring에 액세스 부여
주 구성원의 IAM 역할을 관리하려면 Google Cloud 콘솔 또는 Google Cloud CLI에서 Identity and Access Management 페이지를 사용하면 됩니다. 하지만 Cloud Monitoring은 Monitoring 관련 역할, 프로젝트 수준 역할, Cloud Logging 및 Cloud Trace의 일반적인 역할을 관리할 수 있는 간소화된 인터페이스를 제공합니다.
주 구성원에 Monitoring, Cloud Logging, Cloud Trace에 대한 액세스 권한을 부여하거나 프로젝트 수준 역할을 부여하려면 다음을 수행합니다.
Console
-
Google Cloud 콘솔에서
권한 페이지로 이동합니다.검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.
권한 페이지에는 모든 주 구성원이 표시되지는 않습니다. 프로젝트 수준 역할 또는 Monitoring, Logging, Trace와 관련된 역할이 있는 주 구성원만 표시됩니다.
이 페이지의 옵션을 통해 역할에 Monitoring 권한이 포함된 모든 주 구성원을 볼 수 있습니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원을 클릭하고 주 구성원의 사용자 이름을 입력합니다. 여러 주 구성원을 추가할 수 있습니다.
확장arrow_drop_down 역할 선택 에서 제품 또는 서비스별 메뉴에서 역할을 선택하고역할 메뉴를 사용합니다.
제품 또는 서비스별 선택 역할 선택 설명 모니터링 모니터링 뷰어 모니터링 데이터 및 구성 정보를 확인합니다. 예를 들어 이 역할이 있는 주 구성원은 커스텀 대시보드 및 알림 정책을 볼 수 있습니다. 모니터링 모니터링 편집자 Monitoring 데이터를 보고 구성을 생성 및 수정합니다. 예를 들어 이 역할이 있는 주 구성원은 커스텀 대시보드 및 알림 정책을 만들 수 있습니다. 모니터링 모니터링 관리자 모니터링 데이터를 보고, 구성을 생성 및 수정하고, 측정항목 범위를 수정할 수 있습니다. Cloud Trace Cloud Trace 사용자 Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참고하세요. Cloud Trace Cloud Trace 관리자 Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참고하세요. 로깅 로그 뷰어 로그에 대한 보기 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요. 로깅 로깅 관리자 Cloud Logging의 모든 기능에 대한 전체 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요. 프로젝트 뷰어 대부분의 Google Cloud 리소스에 대한 보기 액세스 권한입니다. 프로젝트 편집자 대부분의 Google Cloud 리소스를 확인, 생성, 업데이트, 삭제합니다. 프로젝트 소유자 대부분의 Google Cloud 리소스에 대한 전체 액세스 권한입니다. (선택사항) 동일한 주 구성원에 다른 역할을 부여하려면 다른 역할 추가를 클릭하고 이전 단계를 반복합니다.
저장을 클릭합니다.
이전 단계에서는 Google Cloud 콘솔에서 Monitoring 페이지를 사용하여 주 구성원 특정 역할을 부여하는 방법을 설명합니다. 이러한 역할의 경우 이 페이지에서 수정 및 삭제 옵션도 지원합니다.
주 구성원의 역할을 삭제하려면 주 구성원 옆에 있는 상자를 선택한 후
액세스 권한 삭제를 클릭합니다.주 구성원의 역할을 수정하려면 edit 수정을 클릭합니다. 설정을 업데이트한 후 저장을 클릭합니다.
gcloud
gcloud projects add-iam-policy-binding
명령어를 사용하여 monitoring.viewer
또는
monitoring.editor
역할을
부여합니다.
예를 들면 다음과 같습니다.
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
gcloud projects get-iam-policy
명령어를 사용하여
부여된 역할을 확인할 수 있습니다.
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
사전 정의된 역할
이 섹션에는 Cloud Monitoring에서 사전 정의된 IAM 역할의 하위 집합이 나와 있습니다.
Monitoring 역할
다음 역할은 일반적인 Monitoring 권한을 부여합니다.
이름 직함 |
포함된 권한 |
---|---|
roles/monitoring.viewer 모니터링 뷰어 |
Google Cloud 콘솔 및 Cloud Monitoring API에서 모니터링에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.editor 모니터링 편집자 |
Google Cloud 콘솔의 Monitoring 및 Cloud Monitoring API에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
roles/monitoring.admin 모니터링 관리자 |
Google Cloud 콘솔 및 Cloud Monitoring API의 Monitoring에 대한 전체 액세스 권한을 부여합니다. |
쓰기 전용 액세스를 위해 서비스 계정에서 사용되는 역할은 다음과 같습니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.metricWriter 모니터링 측정항목 작성자 |
이 역할은 서비스 계정 및 상담사를 위한 역할입니다. |
알림 정책 역할
다음 역할은 알림 정책 관련 권한을 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.alertPolicyViewer 모니터링 알림 정책 뷰어 |
알림 정책에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.alertPolicyEditor 모니터링 알림 정책 편집자 |
알림 정책에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
대시보드 역할
다음 역할은 대시보드에만 권한을 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.dashboardViewer 모니터링 대시보드 구성 뷰어 |
대시보드 구성에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.dashboardEditor 모니터링 대시보드 구성 편집자 |
대시보드 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
이슈 역할
다음 역할은 이슈에 대한 권한만 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Cloud 콘솔 이슈 모니터링 뷰어 |
Google Cloud 콘솔을 사용하여 이슈를 볼 수 있는 액세스 권한을 부여합니다. |
roles/monitoring.cloudConsoleIncidentEditor Cloud 콘솔 이슈 모니터링 편집자 |
Google Cloud 콘솔을 사용하여 이슈를 보고 확인하고 종료할 수 있는 액세스 권한을 부여합니다. |
이슈를 볼 때 발생하는 IAM 권한 오류를 해결하는 방법에 대한 자세한 내용은 권한 오류로 인해 이슈 세부정보를 볼 수 없음을 참조하세요.
알림 채널 역할
다음 역할은 알림 채널 관련 권한만 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.notificationChannelViewer 모니터링 알림 채널 뷰어 |
알림 채널에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.notificationChannelEditor 모니터링 알림 채널 편집자 |
알림 채널에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
알림 역할 일시중지
다음 역할은 알림 일시중지 권한을 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.snoozeViewer Monitoring 일시중지 뷰어 |
일시중지에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.snoozeEditor Monitoring 일시중지 편집자 |
일시중지에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
서비스 모니터링 역할
다음 역할은 서비스 관리를 위한 권한을 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.servicesViewer 모니터링 서비스 뷰어 |
서비스에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.servicesEditor 모니터링 서비스 편집자 |
서비스에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
서비스 모니터링에 대한 자세한 내용은 SLO 모니터링을 참조하세요.
업타임 체크 구성 역할
다음 역할은 업타임 체크 구성 관련 권한만 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.uptimeCheckConfigViewer 모니터링 업타임 체크 구성 뷰어 |
업타임 체크 구성에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.uptimeCheckConfigEditor 모니터링 업타임 체크 구성 편집기 |
업타임 체크 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
측정항목 범위 구성 역할
다음 역할은 측정항목 범위에 대한 일반적인 권한을 부여합니다.
이름 직함 |
설명 |
---|---|
roles/monitoring.metricsScopesViewer 모니터링 측정항목 범위 뷰어 |
측정항목 범위에 대한 읽기 전용 액세스 권한을 부여합니다. |
roles/monitoring.metricsScopesAdmin 모니터링 측정항목 범위 관리자 |
측정항목 범위에 대한 읽기/쓰기 액세스 권한을 부여합니다. |
사전 정의된 역할 권한
이 섹션에는 Monitoring과 연결된 사전 정의된 역할에 할당된 권한이 나와 있습니다.
사전 정의된 역할에 대한 자세한 내용은 IAM: 역할 및 권한을 참조하세요. 가장 적절한 사전 정의된 역할을 선택하는 데 도움이 필요하면 사전 정의된 역할 선택을 참조하세요.
Monitoring 역할 권한
Role | Permissions |
---|---|
Monitoring Admin( Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
작업 구성 모니터링 역할 권한
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Stackdriver 역할 권한
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Google Cloud 역할에 포함된 Monitoring 권한
Google Cloud 역할에 포함된 권한은 다음과 같습니다.
이름 직함 |
포함된 권한 |
---|---|
roles/viewer 뷰어 |
Monitoring 권한은 roles/monitoring.viewer 의 권한과
동일합니다.
|
roles/editor 편집자 |
Monitoring 권한은 이 역할은 측정항목 범위를 수정할 수 있는 권한을 부여하지 않습니다.
API를 사용할 때 측정항목 범위를 수정하려면 역할에 |
roles/owner 소유자 |
Monitoring 권한은 roles/monitoring.admin 의 권한과 동일합니다. |
커스텀 역할
사전 정의된 역할로 부여된 것보다 더 제한된 권한 집합을 주 구성원에 부여하려는 경우 커스텀 역할을 만들 수 있습니다.
예를 들어 데이터 상주 또는 영향 수준 4(IL4) 요구사항이 있기 때문에 Assured Workloads를 설정한 경우, 업타임 체크 데이터가 특정 지리적 위치에 보관된다는 보장이 없으므로 업타임 체크를 사용해서는 안 됩니다.
업타임 체크 사용을 방지하려면 monitoring.uptimeCheckConfigs
프리픽스가 있는 권한을 포함하지 않는 역할을 만드세요.
Monitoring 권한이 있는 커스텀 역할을 만드는 방법은 다음과 같습니다.
Monitoring API 관련 권한만 부여하는 역할이라면 권한 및 사전 정의된 역할 섹션의 권한에서 선택합니다.
Google Cloud 콘솔에서 Monitoring에 대한 권한을 부여하는 역할은 Monitoring 역할 섹션의 권한 그룹에서 선택합니다.
모니터링 데이터를 쓸 수 있는 권한을 부여하려면 권한 및 사전 정의된 역할 섹션에서
roles/monitoring.metricWriter
역할의 권한을 포함합니다.
커스텀 역할에 대한 자세한 내용은 IAM 커스텀 역할 이해를 참조하세요.
Compute Engine 액세스 범위
액세스 범위는 Compute Engine VM 인스턴스의 권한을 지정하는 기존의 방법입니다. Monitoring에 적용되는 액세스 범위는 다음과 같습니다.
액세스 범위 | 부여된 권한 |
---|---|
https://www.googleapis.com/auth/monitoring.read | roles/monitoring.viewer 와 동일한 권한 |
https://www.googleapis.com/auth/monitoring.write | roles/monitoring.metricWriter 와 동일한 권한 |
https://www.googleapis.com/auth/monitoring | Monitoring에 대한 전체 액세스 권한 |
https://www.googleapis.com/auth/cloud-platform | 사용 설정된 모든 Cloud API에 대한 전체 액세스 권한 |
자세한 내용은 액세스 범위를 참조하세요.
권장사항 VM 인스턴스에 가장 강력한 액세스 범위(cloud-platform
)를 제공한 후 IAM 역할을 사용하여 특정 API 및 작업에 대한 액세스 권한을 제한하는 것이 좋습니다. 자세한 내용은
서비스 계정 권한을 참조하세요.