IAM으로 액세스 제어

이 페이지에서는 Identity and Access Management(IAM)를 사용하여 서비스 카탈로그에 대한 액세스 권한을 부여하고 관리하는 방법을 설명합니다.

시작하기 전에

Identity and Access Management(IAM)란 무엇인가요?

Google Cloud에서는 ID 및 액세스 관리(IAM)를 제공하므로 구체적인 Google Cloud 리소스에 더욱 세분화된 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

IAM을 사용하면 IAM 정책을 설정하여 누가(ID) 어떤 리소스에 무슨(역할) 권한을 갖는지를 제어할 수 있습니다. IAM 정책은 주 구성원에게 특정 역할을 부여하여 해당 ID에 특정 권한을 줍니다.

예를 들어 프로젝트와 같은 특정 리소스에 대한 roles/compute.networkAdmin 역할을 Google 계정에 할당하면 해당 계정이 프로젝트에 있는 네트워크 관련 리소스는 제어할 수 있어도 인스턴스 및 디스크와 같은 다른 리소스는 관리할 수 없습니다.

서비스 카탈로그 IAM 역할

IAM과 함께 서비스 카탈로그 API 및 서비스 카탈로그 제작자 API의 모든 API 메서드를 사용하려면 API를 요청하는 ID에 해당 리소스를 사용하는 데 필요한 적절한 권한이 있어야 합니다. 권한을 부여하려면 사용자, 그룹, 서비스 계정과 같은 주 구성원에 역할을 부여하는 정책을 설정합니다. 기본 역할인 소유자, 편집자, 뷰어 외에도 이 페이지에 설명된 서비스 카탈로그 및 서비스 카탈로그 제작자 역할을 주 구성원에 할당할 수 있습니다.

다음은 서비스 카탈로그 사용자가 사용할 수 있는 IAM 역할이 나열된 표입니다. 이 표는 여러 역할로 정리되어 있습니다.

카탈로그 조직 관리자

역할 이름 설명 포함된 권한
roles/cloudprivatecatalogproducer.orgAdmin

Google Cloud 조직 수준에서 서비스 카탈로그 설정을 관리합니다. 솔루션 및 카탈로그와 같은 서비스 카탈로그 리소스를 만들고 관리합니다.

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

카탈로그 관리자

역할 이름 설명 포함된 권한
roles/cloudprivatecatalogproducer.admin

솔루션 및 카탈로그와 같은 서비스 카탈로그 리소스를 만들고 관리합니다.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

카탈로그 관리자

역할 이름 설명 포함된 권한
roles/cloudprivatecatalogproducer.manager

솔루션 및 카탈로그를 보고 서비스 카탈로그 사용자와 카탈로그를 공유합니다.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

카탈로그 소비자

역할 이름 설명 포함된 권한
roles/cloudprivatecatalog.consumer 카탈로그를 탐색합니다. 솔루션을 보고 실행합니다. 조직, 프로젝트, 폴더와 같은 대상 Google Cloud 리소스로 작업을 수행합니다.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

서비스 카탈로그 IAM 역할에 사용자 추가

서비스 카탈로그 IAM 역할에 사용자를 추가하려면 조직의 사용자, Google 그룹스 또는 도메인에 resourcemanager.organizations.setIamPolicy 권한이 있어야 합니다. 사용자나 그룹에 조직 관리자 역할(roles/resourcemanager.organizationAdmin)을 부여하면 권한을 부여할 수 있습니다.

예를 들어 조직에서 사용자에게 다른 서비스 카탈로그 IAM 역할에서 사용자가 그룹을 추가 또는 제거할 수 있는 카탈로그 관리자 역할 부여하고 싶은 경우, 조직 관리자는 다음 작업을 수행할 수 있습니다.

  • 사용자의 Google 그룹을 만듭니다(MyCompanyCatalogAdmins).
  • Google 그룹(MyCompanyCatalogAdmins)에 조직 관리자 역할을 할당합니다.
  • Google 그룹(MyCompanyCatalogAdmins)에 카탈로그 관리자 역할을 할당합니다.

위 예시에서 Google 그룹(MyCompanyCatalogAdmins)의 구성원은 조직의 IAM 역할에 사용자와 그룹을 할당할 수 있습니다. 조직 관리자 역할이 부여되면 그룹에 setIamPolicy 권한이 부여되기 때문입니다. 새 카탈로그 관리자가 조직에 가입하면 Google 그룹(MyCompanyCatalogAdmins)에 추가하여 원하는 역할을 부여합니다.

사용자, 그룹, 도메인을 서비스 카탈로그 IAM 역할에 추가하려면 다음 절차를 따르세요.

  1. Google Cloud Console IAM 및 관리 페이지에 조직 관리자로 로그인합니다.
    Cloud Console IAM 및 관리자 페이지로 이동
  2. 측면 메뉴에서 Cloud Private Catalog를 선택합니다.
  3. 할당할 역할을 선택합니다.
    • 카탈로그 관리자
    • 카탈로그 관리자
    • 카탈로그 소비자
  4. 추가할 사용자, 그룹, 도메인을 지정합니다.

다음 단계