IAM 권한 및 역할의 예

Storage Transfer Service는 데이터 전송을 세부적으로 제어할 수 있는 권한과 역할을 제공합니다. 이러한 권한과 역할을 사용하여 데이터를 전송하는 특정 개인 또는 비즈니스 단위에 대한 액세스를 격리할 수 있습니다. 커스텀 IAM 역할을 만들어 프로젝트 요구사항에 맞는 권한을 부여할 수도 있습니다.

시작하기 전에

비즈니스 단위에 전송 및 보고서 작성 사용 설정

이 시나리오에서는 비즈니스 단위가 Storage Transfer Service를 사용하여 데이터를 전송해야 합니다. 이를 위해 해당 비즈니스 단위의 IT 부서는 다음을 허용하도록 Storage Transfer Service를 구성하려 합니다.

  • IT 부서가 전송을 시작, 모니터링, 삭제
  • 비즈니스 단위의 직원이 전송을 시작 및 모니터링
  • 임원이 비즈니스 단위의 Storage Transfer Service 사용량 확인

이러한 목표를 달성하기 위해 다음과 같은 역할을 부여합니다.

역할 구성원 설명
roles/storagetransfer.admin 비즈니스 단위 IT 부서 직원 IT 담당자에게 role/storagetransfer.admin 역할을 부여하면 해당 담당자가 전송 모니터링 및 삭제와 같은 일반 관리 작업을 수행할 수 있습니다.
roles/storagetransfer.user 비즈니스 단위의 직원 직원에게 roles/storagetransfer.user 역할을 부여하면 해당 직원이 전송을 제출하고 전송 진행 상황을 볼 수 있습니다. 또한 동료가 같은 프로젝트에 제출한 전송의 진행 상황을 볼 수 있습니다. 그러나 전송 작업을 삭제할 수는 없습니다.
roles/storagetransfer.viewer 비즈니스 단위 임원 또는 감사인 및 보안 담당자 임원에게 roles/storagetransfer.viewer 역할을 부여하면 해당 임원이 모든 전송을 볼 수 있지만 전송 작업을 시작하거나 삭제할 수는 없습니다.

이 시나리오 구현하기

사용자가 수행할 작업

직원을 다음 관련 역할에 할당합니다.

  • IT 담당자: roles/storagetransfer.admin
  • IT 담당자가 아닌 직원: roles/storagetransfer.user
  • 임원: roles/storagetransfer.viewer

단계별 안내는 리소스에 대한 액세스 권한 부여, 변경, 취소액세스 권한 부여 섹션을 참조하세요.

데이터 보관을 수행하는 별도의 팀에 전송 사용 설정

이 시나리오에서는 비즈니스 단위가 Storage Transfer Service를 사용하여 데이터를 전송해야 하지만 별도의 팀이 데이터 보관을 수행합니다. 이를 위해 해당 비즈니스 단위의 IT 부서는 다음을 허용하도록 Storage Transfer Service를 구성하려 합니다.

  • 데이터 보관팀이 작업 보기 및 삭제
  • IT 부서가 전송 보기
  • 비즈니스 단위의 직원이 전송을 시작 및 모니터링
  • 임원이 비즈니스 단위의 Storage Transfer Service 사용량 확인

이러한 목표를 달성하기 위해 다음과 같은 역할을 부여합니다.

역할 구성원 설명
storagetransfer.jobs.deletestoragetransfer.jobs.list 권한을 부여하는 커스텀 역할 데이터 보관팀의 구성원 데이터 보관 담당자에게 storagetransfer.jobs.deletestoragetransfer.jobs.list 권한이 있는 역할을 부여하면 해당 담당자가 데이터 보관 작업을 수행할 수 있습니다.
roles/storagetransfer.admin 비즈니스 단위 IT 부서 직원 IT 담당자에게 role/storagetransfer.admin 역할을 부여하면 해당 담당자가 전송 모니터링 및 삭제와 같은 일반 관리 작업을 수행할 수 있습니다. 또한 구성원은 전송의 IAM 정책을 변경할 수 있습니다.
roles/storagetransfer.user 비즈니스 단위의 직원 직원에게 roles/storagetransfer.user 역할을 부여하면 해당 직원이 전송을 제출하고 전송 진행 상황을 볼 수 있습니다. 또한 동료가 같은 프로젝트에 제출한 전송의 진행 상황을 볼 수 있습니다. 그러나 전송 작업을 삭제할 수는 없습니다.
roles/storagetransfer.viewer 비즈니스 단위의 임원 임원에게 roles/storagetransfer.viewer 역할을 부여하면 해당 임원이 모든 전송을 볼 수 있지만 전송 작업을 시작하거나 삭제할 수는 없습니다.

이 시나리오 구현하기

사용자가 수행할 작업

시나리오를 구현하려면 다음 단계를 따르세요.

  1. 데이터 보관팀에 storagetransfer.jobs.delete 권한을 부여하여 roles/storagetransfer.viewer 역할을 보완하는 커스텀 역할을 만듭니다.

    단계별 안내는 커스텀 역할 만들기 및 관리커스텀 역할 만들기 섹션을 참조하세요.

  2. 직원을 다음 관련 역할에 할당합니다.

    • 데이터 보관 담당자: 개발자가 만든 커스텀 역할
    • IT 담당자: roles/storagetransfer.admin
    • IT 담당자가 아닌 직원: roles/storagetransfer.user
    • 임원: roles/storagetransfer.viewer

    단계별 안내는 리소스에 대한 액세스 권한 부여, 변경, 취소액세스 권한 부여 섹션을 참조하세요.