역할 및 권한

Google Cloud 는 특정Google Cloud 리소스에 대한 세부적인 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있는 Identity and Access Management (IAM)를 제공합니다. 이 페이지에서는 Service Directory API 역할을 설명합니다. IAM에 대한 자세한 내용은 IAM 문서를 참고하세요.

IAM을 사용하면 최소 권한의 보안 원칙을 적용하여 필요한 리소스에 대한 액세스 권한만 부여할 수 있습니다.

IAM을 사용하면 IAM 정책을 설정하여 누가 어떤 리소스에 무슨 권한을 갖는지를 제어할 수 있습니다. IAM 정책은 사용자에게 특정 역할을 부여하여 특정 권한을 줍니다.

권한 및 역할

모든 Service Directory API 메서드는 호출자에게 필수 IAM 권한을 요구합니다. 사용자, 그룹 또는 서비스 계정에 역할을 부여하여 권한을 할당할 수 있습니다. 기본 소유자, 편집자, 뷰어 역할 외에도 프로젝트 사용자에게 Service Directory API 역할을 부여할 수 있습니다.

권한

서비스 디렉터리 API 참조 문서에서 각 메서드에 필요한 권한을 확인할 수 있습니다.

역할

Role Permissions

(roles/servicedirectory.admin)

Full control of all Service Directory resources and permissions.

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.endpoints.*

  • servicedirectory.endpoints.create
  • servicedirectory.endpoints.delete
  • servicedirectory.endpoints.get
  • servicedirectory.endpoints.getIamPolicy
  • servicedirectory.endpoints.list
  • servicedirectory.endpoints.setIamPolicy
  • servicedirectory.endpoints.update

servicedirectory.locations.*

  • servicedirectory.locations.get
  • servicedirectory.locations.list

servicedirectory.namespaces.*

  • servicedirectory.namespaces.associatePrivateZone
  • servicedirectory.namespaces.create
  • servicedirectory.namespaces.delete
  • servicedirectory.namespaces.get
  • servicedirectory.namespaces.getIamPolicy
  • servicedirectory.namespaces.list
  • servicedirectory.namespaces.setIamPolicy
  • servicedirectory.namespaces.update

servicedirectory.networks.attach

servicedirectory.services.*

  • servicedirectory.services.bind
  • servicedirectory.services.create
  • servicedirectory.services.delete
  • servicedirectory.services.get
  • servicedirectory.services.getIamPolicy
  • servicedirectory.services.list
  • servicedirectory.services.resolve
  • servicedirectory.services.setIamPolicy
  • servicedirectory.services.update

(roles/servicedirectory.editor)

Edit Service Directory resources.

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.endpoints.create

servicedirectory.endpoints.delete

servicedirectory.endpoints.get

servicedirectory.endpoints.getIamPolicy

servicedirectory.endpoints.list

servicedirectory.endpoints.update

servicedirectory.locations.*

  • servicedirectory.locations.get
  • servicedirectory.locations.list

servicedirectory.namespaces.associatePrivateZone

servicedirectory.namespaces.create

servicedirectory.namespaces.delete

servicedirectory.namespaces.get

servicedirectory.namespaces.getIamPolicy

servicedirectory.namespaces.list

servicedirectory.namespaces.update

servicedirectory.networks.attach

servicedirectory.services.bind

servicedirectory.services.create

servicedirectory.services.delete

servicedirectory.services.get

servicedirectory.services.getIamPolicy

servicedirectory.services.list

servicedirectory.services.resolve

servicedirectory.services.update

(roles/servicedirectory.networkAttacher)

Gives access to attach VPC Networks to Service Directory Endpoints

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.networks.attach

(roles/servicedirectory.pscAuthorizedService)

Gives access to VPC Networks via Service Directory

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.networks.access

(roles/servicedirectory.serviceAgent)

Give the Service Directory service agent access to Cloud Platform resources.

container.clusters.get

gkehub.features.get

gkehub.gateway.delete

gkehub.gateway.generateCredentials

gkehub.gateway.get

gkehub.gateway.patch

gkehub.gateway.post

gkehub.gateway.put

gkehub.locations.*

  • gkehub.locations.get
  • gkehub.locations.list

gkehub.memberships.get

gkehub.memberships.list

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.endpoints.create

servicedirectory.endpoints.delete

servicedirectory.endpoints.get

servicedirectory.endpoints.getIamPolicy

servicedirectory.endpoints.list

servicedirectory.endpoints.update

servicedirectory.locations.*

  • servicedirectory.locations.get
  • servicedirectory.locations.list

servicedirectory.namespaces.associatePrivateZone

servicedirectory.namespaces.create

servicedirectory.namespaces.delete

servicedirectory.namespaces.get

servicedirectory.namespaces.getIamPolicy

servicedirectory.namespaces.list

servicedirectory.namespaces.update

servicedirectory.networks.attach

servicedirectory.services.bind

servicedirectory.services.create

servicedirectory.services.delete

servicedirectory.services.get

servicedirectory.services.getIamPolicy

servicedirectory.services.list

servicedirectory.services.resolve

servicedirectory.services.update

(roles/servicedirectory.viewer)

View Service Directory resources.

resourcemanager.projects.get

resourcemanager.projects.list

servicedirectory.endpoints.get

servicedirectory.endpoints.getIamPolicy

servicedirectory.endpoints.list

servicedirectory.locations.*

  • servicedirectory.locations.get
  • servicedirectory.locations.list

servicedirectory.namespaces.get

servicedirectory.namespaces.getIamPolicy

servicedirectory.namespaces.list

servicedirectory.services.get

servicedirectory.services.getIamPolicy

servicedirectory.services.list

servicedirectory.services.resolve

Google Cloud 콘솔을 사용한 액세스 제어

Google Cloud 콘솔을 사용하여 레지스터의 액세스 제어를 관리할 수 있습니다.

프로젝트 수준의 액세스 제어 설정 방법은 다음과 같습니다.

콘솔

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. 맨 위에 있는 드롭다운 메뉴에서 프로젝트를 선택합니다.

  3. 추가를 클릭합니다.

  4. 새 주 구성원에 새 주 구성원의 이메일 주소를 입력합니다.

  5. 드롭다운 메뉴에서 원하는 역할(servicedirectory.admin, servicedirectory.editor 또는 servicedirectory.viewer)을 선택합니다.

  6. 저장을 클릭합니다.

  7. 부여한 역할과 함께 주 구성원이 나열되는지 확인합니다.

서비스 디렉터리 영역이 IAM 제한사항을 재정의함

서비스 디렉터리 영역에 네임스페이스를 할당하면 비공개 영역을 쿼리할 권한이 있는 모든 네트워크의 모든 클라이언트에 서비스 이름이 표시됩니다. DNS 프로토콜은 인증 기능을 제공하지 않으므로 DNS에는 IAM 액세스 제어가 없습니다.

다음 단계

  • Identity and Access Management에 대한 자세한 내용은 IAM 문서를 참조하세요.
  • 서비스 디렉터리에 대한 자세한 내용은 개요를 참고하세요.