IAM으로 액세스 제어

Storage Transfer Service는 Identity and Access Management(IAM) 권한 및 역할을 사용하여 Storage Transfer Service 리소스에 액세스할 수 있는 사용자를 제어합니다. Storage Transfer Service에서 사용할 수 있는 두 가지 기본 유형의 리소스는 작업(Job)과 작업(Operation)입니다. IAM 정책 계층구조에서 작업(Job)은 프로젝트의 하위 리소스이고, 작업(Operation)은 작업(Job)의 하위 리소스입니다.

리소스에 대한 액세스 권한을 부여하려면 사용자, 그룹 또는 서비스 계정권한 또는 역할을 한 개 이상 할당합니다.

권한

다음과 같은 Storage Transfer Service 권한을 부여할 수 있습니다.

프로젝트 권한 전송

권한 설명
storagetransfer.projects.getServiceAccount Storage Transfer Service가 GoogleServiceAccount에 액세스하는 데 사용하는 GoogleServiceAccount를 읽을 수 있습니다.

작업 권한 전송

다음 표에서는 Storage Transfer Service 작업의 권한을 설명합니다.

권한 설명
storagetransfer.jobs.create 새로운 전송 작업을 만들 수 있습니다.
storagetransfer.jobs.delete 기존 전송 작업(Job)을 삭제할 수 있습니다.

전송 작업은 Patch 함수를 호출하여 삭제됩니다. 그러나 권한 오류를 방지하려면 사용자가 전송 작업(Job) 삭제 시 이 권한을 가지고 있어야 합니다.
storagetransfer.jobs.get 특정 작업(Job)을 검색할 수 있습니다.
storagetransfer.jobs.list 모든 전송 작업(Job)을 나열할 수 있습니다.
storagetransfer.jobs.patch 전송 작업(Job) 구성을 삭제하지 않고 업데이트할 수 있습니다.

작업 권한 전송

다음 표에서는 Storage Transfer Service 운영의 권한을 설명합니다.

권한 설명
storagetransfer.operations.cancel 전송 작업(Operation)을 취소할 수 있습니다.
storagetransfer.operations.get 전송 작업(Operation)의 세부정보를 가져올 수 있습니다.
storagetransfer.operations.list 모든 전송 작업(Job) 작업(Operation)을 나열할 수 있습니다.
storagetransfer.operations.pause 전송 작업(Operation)을 일시중지할 수 있습니다.
storagetransfer.operations.resume 일시중지된 전송 작업(Operation)을 계속할 수 있습니다.

에이전트 풀 권한 전송

다음 표에서는 온프레미스용 전송 에이전트 풀의 전송 권한을 설명합니다.

권한 설명
storagetransfer.agentpools.create 에이전트 풀을 만들 수 있습니다.
storagetransfer.agentpools.update 에이전트 풀을 업데이트할 수 있습니다.
storagetransfer.agentpools.delete 에이전트 풀을 삭제할 수 있습니다.
storagetransfer.agentpools.get 특정 에이전트 풀에 대한 정보를 가져올 수 있습니다.
storagetransfer.agentpools.list 프로젝트의 모든 에이전트 풀에 대한 정보를 나열할 수 있습니다.

Storage Transfer Service 역할

이 섹션에서는 Storage Transfer Service에 설정할 수 있는 역할과 커스텀 역할 생성 안내를 설명합니다.

Storage Transfer Service 사전 정의된 역할 비교

다음 프로젝트 역할 또는 Storage Transfer Service의 사전 정의된 역할을 할당할 수 있습니다.

기능 편집자 (roles/editor) 스토리지 전송 (roles/storagetransfer.)
관리자 (admin) 사용자 (user) 뷰어(viewer)
작업(Job) 나열/가져오기
작업(Job) 만들기
작업(Job) 업데이트
작업(Job) 삭제
전송 작업(Operation) 나열/가져오기
전송 작업(Operation) 일시중지/계속
Storage Transfer Service가 Cloud Storage 버킷에 액세스하는 데 사용하는 Google 서비스 계정 세부정보를 읽습니다.

작업(Job) 업데이트 권한에는 작업(Job)을 삭제할 수 있는 권한이 없습니다.

온프레미스용 전송의 경우 다음을 수행하려면 스토리지 전송 관리자(roles/storagetransfer.admin) 역할이 필요합니다.

  • 에이전트 나열
  • 프로젝트의 대역폭 제한 읽기
  • 프로젝트의 대역폭 제한 설정

Storage Transfer Service 사전 정의된 역할 세부정보

다음 표에는 Storage Transfer Service의 사전 정의된 역할이 자세히 설명되어 있습니다.

역할 설명 포함된 권한
스토리지 전송 관리자
(roles/storagetransfer.
admin
)

작업(Job) 삭제를 포함한 모든 Storage Transfer Service 권한을 제공합니다.

사유: 이 역할은 가장 광범위한 책임을 가지는 최상위 역할이며, 동료 작업자들이 전송을 수행할 때 이를 지원하는 수퍼유저 역할입니다. IT 관리자와 같이 전송을 관리할 사람에게 가장 적합합니다.

모든 권한이 부여됨
스토리지 전송 사용자
(roles/storagetransfer.
user
)

사용자가 프로젝트 내에서 전송 작업(Job)을 생성, 가져오기, 업데이트 및 나열할 수 있는 권한을 제공합니다. 그러나 자신의 작업(Job)을 삭제할 수 없습니다.

사유: 이 역할을 사용하면 작업(Job) 생성 및 유지보수와 작업(Job) 삭제를 분리할 수 있습니다. 이 역할은 직원과 같이 직무의 일환으로 전송을 실행해야 하는 사용자에게 가장 적합합니다. 이 역할에서는 전송 삭제가 허용되지 않으므로 감사인이나 보안 담당자가 완벽하게 보존된 이전 전송 레코드를 볼 수 있습니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.patch
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume
스토리지 전송 뷰어
(roles/storagetransfer.
viewer
)

프로젝트 내에서 작업(Job) 및 전송 작업(Operation)을 나열하고 가져올 수 있는 권한을 제공합니다. 사용자는 작업(Job)을 예약, 업데이트 또는 삭제할 수 없습니다.

사유: 뷰어 역할은 전송 작업(Job) 및 작업(Operation)을 볼 수 있는 읽기 전용 액세스 권한입니다. 이 역할을 사용하면 보고와 감사 태스크를 작업(Job) 생성 및 유지보수로부터 분리할 수 있습니다. 이 역할은 보안, 규정 준수 또는 비즈니스 단위별 책임자와 같이 전송 사용량을 감사하는 사용자 또는 내부 팀에게 가장 적합합니다.

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list

에이전트 풀 역할 전송

이 섹션에서는 온프레미스용 전송 에이전트 풀에 설정할 수 있는 역할을 설명합니다.

에이전트 풀 역할 비교 전송

다음과 같은 온프레미스용 전송 에이전트 풀에 사전 정의된 역할을 할당할 수 있습니다.

기능 스토리지 전송 에이전트 풀 (roles/storagetransfer.agentpools.)
관리자 (admin) 사용자 (user) 뷰어(viewer)
에이전트 풀 나열하기
에이전트 풀 만들기
에이전트 풀 업데이트
에이전트 풀 삭제
에이전트 풀 가져오기

에이전트 풀 세부정보 전송

다음 표에서는 온프레미스 전송 에이전트 풀의 사전 정의된 역할을 자세히 설명합니다.

스토리지 전송 에이전트 풀 관리자
(roles/storagetransfer.agentpools.
admin
)

에이전트 풀 삭제를 포함하여 온프레미스용 전송 에이전트 풀 권한을 모두 제공합니다.

사유: 이 역할은 전송 사용자의 에이전트 풀 설정 및 관리를 지원하는 수퍼유저에게 가장 광범위한 에이전트 풀 권한이 있는 최상위 역할입니다. IT 관리자와 같이 전송을 관리할 사람에게 가장 적합합니다.

  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.update
  • storagetransfer.agentpools.delete
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
스토리지 전송 에이전트 풀 사용자
(roles/storagetransfer.agentpools.
user
)

사용자가 프로젝트 내에서 에이전트 풀을 생성, 업데이트, 가져오기 및 나열할 수 있는 권한을 제공합니다. 그러나 자신의 에이전트 풀을 삭제할 수는 없습니다.

사유: 이 역할을 사용하면 에이전트 풀 생성 및 유지관리와 에이전트 풀 삭제를 분리할 수 있습니다. 이 역할은 직원과 같이 에이전트 풀을 설정하고 모니터링해야 하는 사용자에게 가장 적합합니다.

  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.update
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
스토리지 전송 에이전트 풀 뷰어
(roles/storagetransfer.agentpools.
viewer
)

사용자가 프로젝트 내에서 에이전트 풀을 가져오고 나열할 수 있는 권한을 제공합니다.

사유: 이 역할을 사용하면 에이전트 풀 보기와 에이전트 풀 유지관리 또는 삭제를 분리할 수 있습니다. 이 역할은 직원과 같이 직무의 일환으로 전송을 실행해야 하는 사용자에게 가장 적합합니다.

  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list

맞춤 역할

커스텀 역할을 만들 때는 사전 정의된 역할을 사용하여 역할을 만들면 올바른 권한 조합이 함께 포함되므로 이렇게 하는 것이 가장 좋습니다.

커스텀 역할에 필요한 권한이 없으면 Cloud Console이 제대로 작동하지 않습니다. 예를 들어 Cloud Console의 일부에서는 항목을 편집하기 전에 표시할 수 있는 읽기 권한이 있다고 가정하므로, 쓰기 권한만 있는 역할에는 작동하지 않는 Cloud Console 화면이 있습니다.

다음 단계