IAM 역할 및 권한을 사용하여 액세스 제어

Storage Transfer Service는 Identity and Access Management(IAM) 권한 및 역할을 사용하여 Storage Transfer Service 리소스에 액세스할 수 있는 사용자를 제어합니다. Storage Transfer Service에서 사용할 수 있는 두 가지 기본 유형의 리소스는 작업(Job)과 작업(Operation)입니다. IAM 정책 계층구조에서 작업(Job)은 프로젝트의 하위 리소스이고, 작업(Operation)은 작업(Job)의 하위 리소스입니다.

리소스에 대한 액세스 권한을 부여하려면 사용자, 그룹 또는 서비스 계정권한 또는 역할을 한 개 이상 할당합니다.

권한

다음과 같은 Storage Transfer Service 권한을 부여할 수 있습니다.

프로젝트 권한 전송

권한 설명
storagetransfer.projects.getServiceAccount Storage Transfer Service가 GoogleServiceAccount에 액세스하는 데 사용하는 GoogleServiceAccount를 읽을 수 있습니다.

작업(Job) 권한 전송

권한 설명
storagetransfer.jobs.create 새로운 전송 작업을 만들 수 있습니다.
storagetransfer.jobs.delete 기존 전송 작업(Job)을 삭제할 수 있습니다.

전송 작업은 Patch 함수를 호출하여 삭제됩니다. 그러나 권한 오류를 방지하려면 사용자가 전송 작업(Job) 삭제 시 이 권한을 가지고 있어야 합니다.
storagetransfer.jobs.get 특정 작업(Job)을 검색할 수 있습니다.
storagetransfer.jobs.list 모든 전송 작업(Job)을 나열할 수 있습니다.
storagetransfer.jobs.patch 전송 작업(Job) 구성을 삭제하지 않고 업데이트할 수 있습니다.

작업(Operation) 권한 전송

권한 설명
storagetransfer.operations.cancel 전송 작업(Operation)을 취소할 수 있습니다.
storagetransfer.operations.get 전송 작업(Operation)의 세부정보를 가져올 수 있습니다.
storagetransfer.operations.list 모든 전송 작업(Job) 작업(Operation)을 나열할 수 있습니다.
storagetransfer.operations.pause 전송 작업(Operation)을 일시중지할 수 있습니다.
storagetransfer.operations.resume 일시중지된 전송 작업(Operation)을 계속할 수 있습니다.

역할

이 섹션에서는 Storage Transfer Service에 설정할 수 있는 역할과 커스텀 역할 생성 안내를 설명합니다.

사전 정의된 역할 비교 표

다음 프로젝트 역할 또는 Storage Transfer Service의 사전 정의된 역할을 할당할 수 있습니다.

역량 roles/editor roles/storagetransfer.
admin user viewer
작업(Job) 나열/가져오기
작업(Job) 만들기
작업(Job) 업데이트
작업(Job) 삭제
전송 작업(Operation) 나열/가져오기
전송 작업(Operation) 일시중지/계속
Storage Transfer Service가 Cloud Storage 버킷에 액세스하는 데 사용하는 Google 서비스 계정 세부정보를 읽습니다.

작업(Job) 업데이트 권한에는 작업(Job)을 삭제할 수 있는 권한이 없습니다.

온프레미스 전송의 경우 관리자 역할은 다음을 수행해야 합니다.

  • 에이전트 나열
  • 프로젝트의 대역폭 제한 읽기
  • 프로젝트의 대역폭 제한 설정

사전 정의된 역할 세부정보

다음 표에는 Storage Transfer Service의 사전 정의된 역할이 자세히 설명되어 있습니다.

역할 설명 포함된 권한

roles/storagetransfer.
admin

작업(Job) 삭제를 포함한 모든 Storage Transfer Service 권한을 제공합니다.

사유: 이 역할은 가장 광범위한 책임을 가지는 최상위 역할이며, 동료 작업자들이 전송을 수행할 때 이를 지원하는 수퍼유저 역할입니다. IT 관리자와 같이 전송을 관리할 사람에게 가장 적합합니다.

모든 권한이 부여됨
roles/storagetransfer.
user

사용자가 프로젝트 내에서 전송 작업(Job)을 생성, 가져오기, 업데이트 및 나열할 수 있는 권한을 제공합니다. 그러나 자신의 작업(Job)을 삭제할 수 없습니다.

사유: 이 역할을 사용하면 작업(Job) 생성 및 유지보수와 작업(Job) 삭제를 분리할 수 있습니다. 이 역할은 직원과 같이 직무의 일환으로 전송을 실행해야 하는 사용자에게 가장 적합합니다. 이 역할에서는 전송 삭제가 허용되지 않으므로 감사인이나 보안 담당자가 완벽하게 보존된 이전 전송 레코드를 볼 수 있습니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.patch
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume

roles/storagetransfer.
viewer

프로젝트 내에서 작업(Job) 및 전송 작업(Operation)을 나열하고 가져올 수 있는 권한을 제공합니다. 사용자는 작업(Job)을 예약, 업데이트 또는 삭제할 수 없습니다.

사유: 뷰어 역할은 전송 작업(Job) 및 작업(Operation)을 볼 수 있는 읽기 전용 액세스 권한입니다. 이 역할을 사용하면 보고와 감사 태스크를 작업(Job) 생성 및 유지보수로부터 분리할 수 있습니다. 이 역할은 보안, 규정 준수 또는 비즈니스 단위별 책임자와 같이 전송 사용량을 감사하는 사용자 또는 내부 팀에게 가장 적합합니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list

맞춤 역할

커스텀 역할을 만들 때는 사전 정의된 역할을 사용하여 역할을 만들면 올바른 권한 조합이 함께 포함되므로 이렇게 하는 것이 가장 좋습니다.

커스텀 역할에 필요한 권한이 없으면 Cloud Console이 제대로 작동하지 않습니다. 예를 들어 Cloud Console의 일부에서는 항목을 편집하기 전에 표시할 수 있는 읽기 권한이 있다고 가정하므로, 쓰기 권한만 있는 역할에는 작동하지 않는 Cloud Console 화면이 있습니다.

다음 단계