IAM으로 액세스 제어

Storage Transfer Service는 Identity and Access Management(IAM) 권한 및 역할을 사용하여 Storage Transfer Service 리소스에 액세스할 수 있는 사용자를 제어합니다. Storage Transfer Service에서 사용할 수 있는 두 가지 기본 유형의 리소스는 작업(Job)과 작업(Operation)입니다. IAM 정책 계층구조에서 작업(Job)은 프로젝트의 하위 리소스이고, 작업(Operation)은 작업(Job)의 하위 리소스입니다.

리소스에 대한 액세스 권한을 부여하려면 사용자, 그룹 또는 서비스 계정권한 또는 역할을 한 개 이상 할당합니다.

권한

다음과 같은 Storage Transfer Service 권한을 부여할 수 있습니다.

프로젝트 권한 전송

권한 설명
storagetransfer.projects.getServiceAccount Storage Transfer Service가 GoogleServiceAccount에 액세스하는 데 사용하는 GoogleServiceAccount를 읽을 수 있습니다.

작업 권한 전송

다음 표에서는 Storage Transfer Service 작업의 권한을 설명합니다.

권한 설명
storagetransfer.jobs.create 새로운 전송 작업을 만들 수 있습니다.
storagetransfer.jobs.delete 기존 전송 작업(Job)을 삭제할 수 있습니다.

전송 작업은 Patch 함수를 호출하여 삭제됩니다. 그러나 권한 오류를 방지하려면 사용자가 전송 작업(Job) 삭제 시 이 권한을 가지고 있어야 합니다.
storagetransfer.jobs.get 특정 작업(Job)을 검색할 수 있습니다.
storagetransfer.jobs.list 모든 전송 작업(Job)을 나열할 수 있습니다.
storagetransfer.jobs.patch 전송 작업(Job) 구성을 삭제하지 않고 업데이트할 수 있습니다.

작업 권한 전송

다음 표에서는 Storage Transfer Service 운영의 권한을 설명합니다.

권한 설명
storagetransfer.operations.cancel 전송 작업(Operation)을 취소할 수 있습니다.
storagetransfer.operations.get 전송 작업(Operation)의 세부정보를 가져올 수 있습니다.
storagetransfer.operations.list 모든 전송 작업(Job) 작업(Operation)을 나열할 수 있습니다.
storagetransfer.operations.pause 전송 작업(Operation)을 일시중지할 수 있습니다.
storagetransfer.operations.resume 일시중지된 전송 작업(Operation)을 계속할 수 있습니다.

에이전트 풀 권한 전송

다음 표에서는 온프레미스용 전송 에이전트 풀의 전송 권한을 설명합니다.

권한 설명
storagetransfer.agentpools.create 에이전트 풀을 만들 수 있습니다.
storagetransfer.agentpools.update 에이전트 풀을 업데이트할 수 있습니다.
storagetransfer.agentpools.delete 에이전트 풀을 삭제할 수 있습니다.
storagetransfer.agentpools.get 특정 에이전트 풀에 대한 정보를 가져올 수 있습니다.
storagetransfer.agentpools.list 프로젝트의 모든 에이전트 풀에 대한 정보를 나열할 수 있습니다.

사전 정의된 역할

이 섹션에서는 Storage Transfer Service의 사전 정의된 역할을 설명합니다. 역할은 IAM 권한을 설정하는 것이 좋습니다.

역할 비교

다음 프로젝트 역할 또는 Storage Transfer Service의 사전 정의된 역할을 할당할 수 있습니다.

기능 편집자 (roles/editor) 스토리지 전송 (roles/storagetransfer.)
관리자 (admin) 사용자 (user) 뷰어(viewer)
작업(Job) 나열/가져오기
작업(Job) 만들기
작업(Job) 업데이트
작업(Job) 삭제
전송 작업(Operation) 나열/가져오기
전송 작업(Operation) 일시중지/계속
Storage Transfer Service가 Cloud Storage 버킷에 액세스하는 데 사용하는 Google 서비스 계정 세부정보를 읽습니다.
에이전트 풀 나열하기
에이전트 풀 만들기
에이전트 풀 업데이트
에이전트 풀 삭제
에이전트 풀 가져오기

작업(Job) 업데이트 권한에는 작업(Job)을 삭제할 수 있는 권한이 없습니다.

온프레미스용 전송의 경우 다음을 수행하려면 스토리지 전송 관리자(roles/storagetransfer.admin) 역할이 필요합니다.

  • 에이전트 나열
  • 프로젝트의 대역폭 제한 읽기
  • 프로젝트의 대역폭 제한 설정

역할 세부정보

다음 표에는 Storage Transfer Service의 사전 정의된 역할이 자세히 설명되어 있습니다.

역할 설명 포함된 권한
스토리지 전송 관리자
(roles/storagetransfer.
admin
)

작업(Job) 삭제를 포함한 모든 Storage Transfer Service 권한을 제공합니다.

사유: 이 역할은 가장 광범위한 책임을 가지는 최상위 역할이며, 동료 작업자들이 전송을 수행할 때 이를 지원하는 수퍼유저 역할입니다. IT 관리자와 같이 전송을 관리할 사람에게 가장 적합합니다.

모든 권한이 부여됨
스토리지 전송 사용자
(roles/storagetransfer.
user
)

사용자가 프로젝트 내에서 전송 작업(Job)을 생성, 가져오기, 업데이트 및 나열할 수 있는 권한을 제공합니다. 그러나 자신의 작업(Job)을 삭제할 수 없습니다.

사유: 이 역할을 사용하면 작업(Job) 생성 및 유지보수와 작업(Job) 삭제를 분리할 수 있습니다. 이 역할은 직원과 같이 직무의 일환으로 전송을 실행해야 하는 사용자에게 가장 적합합니다. 이 역할에서는 전송 삭제가 허용되지 않으므로 감사인이나 보안 담당자가 완벽하게 보존된 이전 전송 레코드를 볼 수 있습니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.patch
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume
스토리지 전송 뷰어
(roles/storagetransfer.
viewer
)

프로젝트 내에서 작업(Job) 및 전송 작업(Operation)을 나열하고 가져올 수 있는 권한을 제공합니다. 사용자는 작업(Job)을 예약, 업데이트 또는 삭제할 수 없습니다.

사유: 뷰어 역할은 전송 작업(Job) 및 작업(Operation)을 볼 수 있는 읽기 전용 액세스 권한입니다. 이 역할을 사용하면 보고와 감사 태스크를 작업(Job) 생성 및 유지보수로부터 분리할 수 있습니다. 이 역할은 보안, 규정 준수 또는 비즈니스 단위별 책임자와 같이 전송 사용량을 감사하는 사용자 또는 내부 팀에게 가장 적합합니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
스토리지 전송 에이전트 (roles/storagetransfer.transferAgent)

온프레미스용 전송 에이전트에 전송을 완료하는 데 필요한 Storage Transfer Service 및 Pub/Sub 권한을 부여합니다.

에이전트에서 사용 중인 사용자 또는 서비스 계정에 이 역할을 부여합니다.

  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish

커스텀 역할

커스텀 IAM 역할을 만들고 적용하여 조직의 액세스 요구사항을 충족할 수 있습니다.

커스텀 역할을 만들 때는 올바른 권한이 함께 포함되도록 사전 정의된 역할을 함께 사용하는 것이 좋습니다.

커스텀 역할에 필요한 권한이 없으면 Google Cloud Console이 제대로 작동하지 않습니다. 예를 들어 Cloud Console의 일부에서는 항목을 편집하기 전에 표시할 수 있는 읽기 권한이 있다고 가정하므로, 쓰기 권한만 있는 역할에는 작동하지 않는 Cloud Console 화면이 있습니다.

다음 단계