IAM으로 액세스 제어

이 페이지에서는 VPC 서비스 제어를 구성하는 데 필요한 ID 및 액세스 관리(IAM) 역할을 설명합니다.

필요한 역할

다음 표에는 액세스 정책을 만들고 나열하는 데 필요한 권한과 역할이 나와 있습니다.

작업 필수 권한 및 역할
조직 수준 액세스 정책 또는 범위가 지정된 정책 만들기

권한: accesscontextmanager.policies.create

권한을 제공하는 역할: VPC 서비스 제어 편집자 역할(roles/accesscontextmanager.policyEditor)

조직 수준 액세스 정책 또는 범위가 지정된 정책 나열

권한: accesscontextmanager.policies.list

권한을 제공하는 역할:
  • VPC 서비스 제어 편집자 역할(roles/accesscontextmanager.policyEditor)
  • VPC 서비스 제어 리더 역할(roles/accesscontextmanager.policyReader)

조직 수준에서 권한이 있는 경우에만 범위 지정 정책을 만들거나 나열하거나 위임할 수 있습니다. 범위가 지정된 정책을 만든 후에는 범위가 지정된 정책에 IAM binding을 추가하여 정책을 관리할 수 있는 권한을 부여할 수 있습니다.

조직 수준에서 부여된 권한은 조직 수준 정책 및 모든 범위 정책을 포함한 모든 액세스 정책에 적용됩니다.

다음과 같은 사전 정의된 IAM 역할에서 서비스 경계와 액세스 수준을 보거나 구성하는 데 필요한 권한을 제공합니다.

  • Access Context Manager 관리자(roles/accesscontextmanager.policyAdmin)
  • Access Context Manager 편집자(roles/accesscontextmanager.policyEditor)
  • Access Context Manager 리더(roles/accesscontextmanager.policyReader)

이러한 역할 중 하나를 부여하려면 Console을 사용하거나 gcloud CLI에서 다음 명령어 중 하나를 실행합니다. ORGANIZATION_ID를 Google Cloud 조직의 ID로 바꿉니다.

읽기-쓰기 액세스를 허용하는 관리자 관리 역할 부여

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyAdmin"

읽기-쓰기 액세스를 허용하는 관리자 편집자 역할 부여

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyEditor"

읽기 전용 액세스를 허용하는 관리자 리더 역할 부여

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:example@customer.org" \
    --role="roles/accesscontextmanager.policyReader"