Google Cloud 리소스를 사용하는 모든 애플리케이션 프로그램은 리소스에 액세스하기 전에 Google Cloud ID 및 권한이 필요합니다.
IAM 서비스 계정
Google Cloud에서 Cloud Identity and Access Management(IAM)는 서비스 계정을 사용하여 프로그램의 ID를 설정하고 역할을 사용하여 프로그램의 서비스 계정에 권한을 부여합니다.
Compute Engine 가상 머신(VM)에서 실행되는 SAP 시스템 및 관련 프로그램의 경우 SAP 시스템 및 기타 프로그램에 필요한 역할만 포함된 VM 서비스 계정을 만듭니다.
Google Cloud에서 실행되지 않는 프로그램은 Google Cloud APIs에 연결하고 인증에 서비스 계정 키를 사용할 때 서비스 계정을 사용할 수 있습니다.
프로그램에 필요한 역할이 VM 서비스 계정에 있는 경우 Compute Engine VM에서 실행되는 프로그램은 VM의 서비스 계정을 사용할 수 있습니다. Compute Engine VM에서 실행 중인 프로그램의 경우 인증에 서비스 계정 키를 사용하지 않는 것이 좋습니다.
Google Cloud CLI 또는 Google Cloud Console을 사용하여 VM 인스턴스를 만드는 경우 사용할 VM 인스턴스의 서비스 계정을 지정하거나 프로젝트 기본 서비스 계정을 수락하거나 서비스 계정을 지정하지 않을 수 있습니다.
Google Cloud CLI 또는 Google Cloud Console을 사용하지 않고 API에 직접 요청을 수행하여 인스턴스를 만들면 이 인스턴스에 사용 설정되지 않은 상태로 기본 서비스 계정이 제공됩니다.
프로그램에 필요한 역할이 VM 서비스 계정에 없는 경우 VM 서비스 계정에 역할을 추가하거나 서비스 계정을 새 VM 서비스 계정으로 바꿀 수 있습니다.
프로젝트의 Compute Engine 기본 서비스 계정에는 처음에 편집자 역할이 부여되는데, 이 역할은 대부분의 엔터프라이즈 환경에서 권한이 과도하게 부여될 수 있습니다.
Compute Engine의 역할, 권한, 서비스 계정 사용에 대한 자세한 내용은 다음을 참조하세요.
Google Cloud에서 더 광범위하게 적용되는 정보는 IAM 문서를 참조하세요.
배포 자동화 및 서비스 계정
Google Cloud에서 제공하는 Deployment Manager 템플릿 또는 Terraform 구성 파일을 사용하여 SAP 인프라를 배포하는 경우 DEPLOYMENT_TYPE.tf 또는 template.yaml 구성 파일에서 VM 서비스 계정을 지정할 수 있습니다.
서비스 계정을 지정하지 않으면 Terraform 또는 Deployment Manager가 Google 클라우드 프로젝트의 기본 서비스 계정을 사용하여 VM을 배포합니다.
IAM 역할 및 권한
IAM은 각 Google Cloud 리소스에 대해 사전 정의된 역할을 제공합니다. 각 역할에는 역할 수준에 적합한 리소스에 대한 권한 집합이 포함되어 있습니다. 직접 만든 서비스 계정에 이러한 역할을 추가할 수 있습니다.
가장 제한적이거나 세밀한 제어를 위해 하나 이상의 권한으로 커스텀 역할을 만들 수 있습니다.
사전 정의된 역할 목록과 각 역할에 포함된 권한은 역할 이해를 참조하세요.
커스텀 역할에 대한 자세한 내용은 커스텀 역할 이해를 참조하세요.
Compute Engine과 관련된 역할에 대한 자세한 내용은 Compute Engine 문서의 Compute Engine IAM 역할을 참조하세요.
SAP 시스템의 IAM 역할
SAP 프로그램에 필요한 IAM 역할은 프로그램이 사용하는 리소스와 프로그램이 수행하는 작업에 따라 다릅니다.
예를 들어 Terraform 또는 Deployment Manager를 사용하여 SAP 시스템을 배포하고 Terraform 또는 Deployment Manager 구성 파일에 서비스 계정을 지정하는 경우 지정한 서비스 계정에 최소한 다음 역할이 포함되어야 합니다.
- 서비스 계정 사용자 - 항상 필요합니다.
- Compute 인스턴스 관리자 - 항상 필요합니다.
- 스토리지 객체 뷰어 - 배포 중에 Cloud Storage 버킷에서 설치 미디어를 다운로드하는 데 필요합니다.
- 로그 작성자 - 배포 또는 기타 메시지를 Logging에 기록하는 데 필요합니다.
SAP 시스템이 배포된 후 호스트 VM과 SAP 프로그램에 배포 중에 필요한 권한이 모두 필요하지 않을 수 있습니다. VM 서비스 계정을 수정하여 역할을 삭제하거나 VM에서 사용하는 서비스 계정을 변경할 수 있습니다.
일부 SAP 또는 관련 프로그램을 사용하려면 추가 역할이 필요하며 Google Cloud에서 실행되지 않는 경우 별도의 서비스 계정이 필요할 수 있습니다. 예를 들면 다음과 같습니다.
- SAP HANA용 Cloud Storage Backint 에이전트에는 Cloud Storage에 백업하고 복구하기 위한 스토리지 객체 관리자 역할이 필요합니다.
- SAP용 Google Cloud 에이전트에는 Compute 뷰어, 모니터링 뷰어, 모니터링 측정항목 작성자와 같은 역할이 필요합니다. 자세한 내용은 필요한 IAM 역할을 참조하세요.
- SAP 데이터를 BigQuery에 복제하도록 구성된 SAP Data Services에는 BigQuery 데이터 편집자 역할과 BigQuery 작업 사용자 역할이 모두 필요합니다.