VMware Engine IAM 역할 및 권한

Google Cloud VMware Engine에는 특정 Identity and Access Management(IAM) 역할 집합이 있습니다. 각 역할에는 일련의 권한이 포함되어 있습니다.

프로젝트에 새 구성원을 추가할 때 IAM 정책을 사용하여 해당 구성원에게 하나 이상의 IAM 역할을 부여할 수 있습니다. 각 IAM 역할에는 구성원에게 VMware Engine 리소스에 대한 액세스 권한을 부여하는 권한이 포함됩니다.

VMware Engine에 대한 액세스 관리

이 가이드에서는 Google Cloud 프로젝트 또는 조직 같은 특정 상위 리소스에 대한 액세스 권한을 부여하는 등, 최소 권한의 원칙을 사용하여 VMware Engine에 대한 액세스를 관리하는 방법을 설명합니다. 리소스에 IAM 정책을 설정하여 프로젝트에 대한 액세스 권한을 부여합니다. 이 정책은 사용자 또는 서비스 계정 같은 하나 이상의 구성원을 하나 이상의 역할에 바인딩합니다. 각 역할에는 구성원이 리소스와 상호작용할 수 있는 권한 목록이 포함됩니다.

IAM에는 다음과 같은 세 가지 유형의 역할이 있습니다.

기본 역할: IAM 도입 전에 있었던 기존의 소유자, 편집자, 뷰어 역할이 포함됩니다.
사전 정의된 역할: 특정 서비스에 대한 세분화된 액세스 권한을 제공하며, Google Cloud에서 관리합니다. 사전 정의된 역할은 일반적인 사용 사례와 액세스 제어 패턴을 지원합니다.
커스텀 역할: 사용자 지정 권한 목록에 따라 세분화된 액세스 권한을 제공합니다.

VMware Engine 권한

권한	설명
`vmwareengine.googleapis.com/services.view`	VMware Engine 포털 및 리소스에 대한 읽기 액세스 권한
`vmwareengine.googleapis.com/services.use`	VMware Engine 포털 및 리소스에 대한 관리자 액세스 권한

VMware Engine 역할

역할	설명
`VMware Engine Service Viewer`	VMware Engine 포털 및 리소스에 대한 읽기 액세스 권한
`VMware Engine Service Admin`	VMware Engine 포털 및 리소스에 대한 관리자 액세스 권한

프로젝트의 기본 역할

기본적으로 Cloud 프로젝트에 대한 액세스 권한을 부여하면 VMware Engine 프라이빗 클라우드에 대한 액세스 권한도 부여합니다. 프로젝트 Owner 역할을 맡은 사용자는 프로젝트 역할을 취소하거나 변경할 수 있습니다.

기본 역할 기능

Viewer VMware Engine 콘솔, 프라이빗 클라우드, 모든 리소스를 볼 수 있습니다. 이 역할에는 VMware Engine Service Viewer 역할이 포함됩니다.

기본 역할	기능
`Viewer`	VMware Engine 콘솔, 프라이빗 클라우드, 모든 리소스를 볼 수 있습니다. 이 역할에는 `VMware Engine Service Viewer` 역할이 포함됩니다.
`Editor`	`Viewer`와 동일하고 다음 권한이 추가됩니다. 모든 네트워크 리소스 및 외부 IP 주소를 포함하여 모든 리소스를 생성, 업데이트, 삭제할 수 있습니다. `Editor` 역할은 프라이빗 클라우드를 만들거나 추가하고, 프라이빗 클라우드에서 노드를 추가하거나 삭제할 수도 있습니다. 이 역할에는 `VMware Engine Service Admin` 역할이 포함됩니다.
`Owner`	`Editor`와 동일합니다.

Editor

Viewer와 동일하고 다음 권한이 추가됩니다.

모든 네트워크 리소스 및 외부 IP 주소를 포함하여 모든 리소스를 생성, 업데이트, 삭제할 수 있습니다. Editor 역할은 프라이빗 클라우드를 만들거나 추가하고, 프라이빗 클라우드에서 노드를 추가하거나 삭제할 수도 있습니다. 이 역할에는 VMware Engine Service Admin 역할이 포함됩니다.

Owner Editor와 동일합니다.

VMware Engine 액세스 권한 부여 또는 취소

역할을 사용하여 VMware Engine 포털에 대한 액세스 권한을 부여하면 역할이 프로젝트 수준에서 VMware Engine 리소스에 적용됩니다. 프로젝트에 여러 프라이빗 클라우드가 포함된 경우 개별 프라이빗 클라우드에 역할을 적용할 수 없습니다.

액세스 권한 부여

프로젝트에 팀 구성원을 추가하고 VMware Engine 역할을 부여하려면 다음을 수행합니다.

Google Cloud Console에서 IAM 페이지로 이동합니다.

IAM 페이지로 이동
프로젝트 선택을 클릭하고 프로젝트를 선택한 후 열기를 클릭합니다.
추가를 클릭합니다.
이메일 주소를 입력합니다. 개인, 서비스 계정 또는 그룹을 구성원으로 추가할 수 있습니다.
사용자 또는 그룹에 필요한 액세스 유형에 따라 VMware Engine Service Viewer 또는 VMware Engine Service Admin 역할을 선택합니다. 역할은 구성원에게 특정 수준의 권한을 제공합니다.

사용 가능한 최상의 보안을 위해 각 사용자 또는 그룹에 필요한 최소 권한을 부여하는 것이 좋습니다. Owner 역할이 있는 구성원은 VMware Engine 리소스의 모든 측면을 관리할 수 있습니다.
저장을 클릭합니다.

액세스 권한 취소

사용자 또는 그룹의 VMware Engine 액세스 권한을 취소하려면 다음을 수행합니다.

Google Cloud Console에서 IAM 페이지로 이동합니다.

IAM 페이지로 이동
프로젝트 선택을 클릭하고 프로젝트를 선택한 후 열기를 클릭합니다.
액세스 권한을 취소할 사용자 또는 그룹을 찾고 수정을 클릭합니다.
취소하려는 각 역할에 대해 삭제를 클릭한 다음 저장을 클릭합니다.