IAM으로 액세스 제어
이 페이지에서는 Identity and Access Management(IAM)를 사용하여 서비스 카탈로그에 대한 액세스 권한을 부여하고 관리하는 방법을 설명합니다.
시작하기 전에
- Google Cloud 조직에 서비스 카탈로그를 사용 설정해야 합니다.
- 서비스 카탈로그 IAM 역할을 부여하려면 Google Cloud 조직의 조직 관리자(
roles/resourcemanager.organizationAdmin
) 역할이 있어야 합니다.
Identity and Access Management(IAM)란 무엇인가요?
Google Cloud에서는 ID 및 액세스 관리(IAM)를 제공하므로 구체적인 Google Cloud 리소스에 더욱 세분화된 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.
IAM을 사용하면 IAM 정책을 설정하여 누가(ID) 어떤 리소스에 무슨(역할) 권한을 갖는지를 제어할 수 있습니다. IAM 정책은 주 구성원에게 특정 역할을 부여하여 해당 ID에 특정 권한을 줍니다.
예를 들어 프로젝트와 같은 특정 리소스에 대한 roles/compute.networkAdmin
역할을 Google 계정에 할당하면 해당 계정이 프로젝트에 있는 네트워크 관련 리소스는 제어할 수 있어도 인스턴스 및 디스크와 같은 다른 리소스는 관리할 수 없습니다.
서비스 카탈로그 IAM 역할
IAM과 함께 서비스 카탈로그 API 및 서비스 카탈로그 제작자 API의 모든 API 메서드를 사용하려면 API를 요청하는 ID에 해당 리소스를 사용하는 데 필요한 적절한 권한이 있어야 합니다. 권한을 부여하려면 사용자, 그룹, 서비스 계정과 같은 주 구성원에 역할을 부여하는 정책을 설정합니다. 기본 역할인 소유자, 편집자, 뷰어 외에도 이 페이지에 설명된 서비스 카탈로그 및 서비스 카탈로그 제작자 역할을 주 구성원에 할당할 수 있습니다.
다음은 서비스 카탈로그 사용자가 사용할 수 있는 IAM 역할이 나열된 표입니다. 이 표는 여러 역할로 정리되어 있습니다.
카탈로그 조직 관리자
역할 이름 | 설명 | 포함된 권한 |
---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
Google Cloud 조직 수준에서 서비스 카탈로그 설정을 관리합니다. 솔루션 및 카탈로그와 같은 서비스 카탈로그 리소스를 만들고 관리합니다. |
|
카탈로그 관리자
역할 이름 | 설명 | 포함된 권한 |
---|---|---|
roles/cloudprivatecatalogproducer.admin
|
솔루션 및 카탈로그와 같은 서비스 카탈로그 리소스를 만들고 관리합니다. |
|
카탈로그 관리자
역할 이름 | 설명 | 포함된 권한 |
---|---|---|
roles/cloudprivatecatalogproducer.manager |
솔루션 및 카탈로그를 보고 서비스 카탈로그 사용자와 카탈로그를 공유합니다. |
|
카탈로그 소비자
역할 이름 | 설명 | 포함된 권한 |
---|---|---|
roles/cloudprivatecatalog.consumer |
카탈로그를 탐색합니다. 솔루션을 보고 실행합니다. 조직, 프로젝트, 폴더와 같은 대상 Google Cloud 리소스로 작업을 수행합니다. |
|
서비스 카탈로그 IAM 역할에 사용자 추가
서비스 카탈로그 IAM 역할에 사용자를 추가하려면 조직의 사용자, Google 그룹스 또는 도메인에 resourcemanager.organizations.setIamPolicy
권한이 있어야 합니다. 사용자나 그룹에 조직 관리자 역할(roles/resourcemanager.organizationAdmin
)을 부여하면 권한을 부여할 수 있습니다.
예를 들어 조직에서 사용자에게 다른 서비스 카탈로그 IAM 역할에서 사용자가 그룹을 추가 또는 제거할 수 있는 카탈로그 관리자 역할도 부여하고 싶은 경우, 조직 관리자는 다음 작업을 수행할 수 있습니다.
- 사용자의 Google 그룹을 만듭니다(
MyCompanyCatalogAdmins
). - Google 그룹(
MyCompanyCatalogAdmins
)에 조직 관리자 역할을 할당합니다. - Google 그룹(
MyCompanyCatalogAdmins
)에 카탈로그 관리자 역할을 할당합니다.
위 예시에서 Google 그룹(MyCompanyCatalogAdmins
)의 구성원은 조직의 IAM 역할에 사용자와 그룹을 할당할 수 있습니다. 조직 관리자 역할이 부여되면 그룹에 setIamPolicy
권한이 부여되기 때문입니다. 새 카탈로그 관리자가 조직에 가입하면 Google 그룹(MyCompanyCatalogAdmins
)에 추가하여 원하는 역할을 부여합니다.
사용자, 그룹, 도메인을 서비스 카탈로그 IAM 역할에 추가하려면 다음 절차를 따르세요.
- Google Cloud Console IAM 및 관리 페이지에 조직 관리자로 로그인합니다.
Cloud Console IAM 및 관리자 페이지로 이동 - 측면 메뉴에서 Cloud Private Catalog를 선택합니다.
- 할당할 역할을 선택합니다.
- 카탈로그 관리자
- 카탈로그 관리자
- 카탈로그 소비자
- 추가할 사용자, 그룹, 도메인을 지정합니다.