다른 사용자에게 액세스 권한 부여

이 페이지에서는 Google Cloud 사용자 계정 또는 서비스 계정에 프로젝트의 모든 AlloyDB 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.

계정에 원하는 제어 범위에 따라 다음과 같은 사전 정의된 IAM 역할 중 하나를 부여하면 됩니다.

  • roles/alloydb.admin (Cloud AlloyDB 관리자)를 사용하여 모든 AlloyDB 리소스에 대한 전체 제어 권한을 부여합니다.
  • roles/alloydb.client (Cloud AlloyDB 클라이언트) 및 roles/serviceusage.serviceUsageConsumer (서비스 사용량 소비자)를 사용하여 AlloyDB 인증 프록시로 연결하는 클라이언트에서 AlloyDB 인스턴스에 대한 연결 액세스 권한을 부여합니다.
  • roles/alloydb.databaseUser (Cloud AlloyDB 데이터베이스 사용자)를 사용하여 AlloyDB 인스턴스에 데이터베이스 사용자 인증을 부여합니다.
  • roles/alloydb.viewer (Cloud AlloyDB 뷰어)를 사용하여 모든 AlloyDB 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.

이러한 역할이 제공하는 특정 IAM 권한에 대한 자세한 내용은 사전 정의된 AlloyDB IAM 역할을 참고하세요.

시작하기 전에

  • 사용 중인 Google Cloud 프로젝트가 AlloyDB에 액세스할 수 있도록 설정되어 있어야 합니다.
  • 사용 중인 Google Cloud 프로젝트에 roles/owner (소유자) 기본 IAM 역할 또는 다음 권한을 부여하는 역할이 있어야 합니다.
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    최소 권한 원칙을 준수하면서 이러한 권한을 얻으려면 관리자에게 roles/resourcemanager.projectIamAdmin (프로젝트 IAM 관리자) 역할을 부여해 달라고 요청하세요.

  • 사용 중인 Google Cloud 프로젝트에서 Cloud Resource Manager API를 사용 설정합니다.

    API 사용 설정

절차

콘솔

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. AlloyDB에 액세스할 수 있도록 사용 설정된 프로젝트를 선택합니다.
  3. 액세스 권한을 부여할 주 구성원 (사용자 또는 서비스 계정)을 선택합니다.
    • 프로젝트에 대한 다른 역할이 이미 있는 주 구성원에게 역할을 부여하려면 주 구성원의 이메일 주소가 포함된 행을 찾고, 해당 행에서 주 구성원 수정을 클릭하고, 다른 역할 추가를 클릭합니다.
    • 프로젝트에 대해 다른 역할이 아직 없는 주 구성원에 역할을 부여하려면 추가를 클릭한 후 주 구성원의 이메일 주소를 입력합니다.
  4. 드롭다운 목록에서 다음 역할 중 하나를 선택합니다.
    • Cloud AlloyDB 관리자
    • Cloud AlloyDB 뷰어
    • Cloud AlloyDB 클라이언트서비스 사용량 소비자
    • Cloud AlloyDB 데이터베이스 사용자
  5. 저장을 클릭합니다. 주 구성원에게 역할이 부여됩니다.

gcloud

gcloud CLI를 사용하려면 Google Cloud CLI를 설치 및 초기화하거나 Cloud Shell을 사용합니다.

add-iam-policy-binding 명령어를 사용하여 IAM 주 구성원(사용자 계정 또는 서비스 계정)에 AlloyDB 사전 정의된 역할을 부여합니다.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: AlloyDB에 액세스할 수 있도록 설정된 프로젝트의 ID입니다.
  • PRINCIPAL: 주 구성원의 유형 및 이메일 ID (이메일 주소)입니다.
    • 사용자 계정: user:EMAIL_ID
    • 서비스 계정: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: 주 구성원에게 부여할 역할입니다. 값은 다음 중 하나여야 합니다.

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.clientroles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    이러한 역할이 부여하는 권한에 대한 자세한 내용은 사전 정의된 AlloyDB IAM 역할을 참고하세요.