다른 사용자에게 액세스 권한 부여

이 페이지에서는 Google Cloud 사용자 계정 또는 서비스 계정에 프로젝트의 모든 AlloyDB 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.

계정에 원하는 제어 범위에 따라 다음과 같은 사전 정의된 IAM 역할 중 하나를 부여하면 됩니다.

  • roles/alloydb.admin(Cloud AlloyDB 관리자)를 사용하여 모든 AlloyDB 리소스에 대한 전체 제어 권한을 부여합니다.
  • roles/alloydb.client(Cloud AlloyDB 클라이언트) 및 roles/serviceusage.serviceUsageConsumer(서비스 사용량 소비자)를 사용하여 AlloyDB 인증 프록시로 연결하는 클라이언트에서 AlloyDB 인스턴스에 대한 연결 액세스 권한을 부여합니다.
  • roles/alloydb.databaseUser(Cloud AlloyDB 데이터베이스 사용자)를 사용하여 AlloyDB 인스턴스에 데이터베이스 사용자 인증을 부여합니다.
  • roles/alloydb.viewer(Cloud AlloyDB 뷰어)를 사용하여 모든 AlloyDB 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.

이러한 역할이 제공하는 특정 IAM 권한에 대한 자세한 내용은 사전 정의된 AlloyDB IAM 역할을 참조하세요.

시작하기 전에

  • 사용 중인 Google Cloud 프로젝트가 AlloyDB에 액세스할 수 있도록 사용 설정되어 있어야 합니다.
  • 사용 중인 Google Cloud 프로젝트에 roles/owner(소유자) 기본 IAM 역할 또는 다음 권한을 부여하는 역할이 있어야 합니다.
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    최소 권한 원칙을 준수하면서 이러한 권한을 얻으려면 관리자에게 roles/resourcemanager.projectIamAdmin(프로젝트 IAM 관리자) 역할을 부여해 달라고 요청하세요.

  • 사용 중인 Google Cloud 프로젝트에서 Cloud Resource Manager API를 사용 설정합니다.

    API 사용 설정

절차

콘솔

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. AlloyDB에 액세스할 수 있도록 사용 설정된 프로젝트를 선택합니다.
  3. 액세스 권한을 부여할 주 구성원(사용자 또는 서비스 계정)을 선택합니다.
    • 프로젝트에 대한 다른 역할이 이미 있는 주 구성원에 역할을 부여하려면 주 구성원의 이메일 주소가 포함된 행을 찾고, 해당 행에서 주 구성원 수정을 클릭하고, 다른 역할 추가를 클릭합니다.
    • 프로젝트에 대해 다른 역할이 아직 없는 주 구성원에 역할을 부여하려면 추가를 클릭한 후 주 구성원의 이메일 주소를 입력합니다.
  4. 드롭다운 목록에서 다음 역할 중 하나를 선택합니다.
    • Cloud AlloyDB 관리자
    • Cloud AlloyDB 뷰어
    • Cloud AlloyDB 클라이언트서비스 사용량 소비자
    • Cloud AlloyDB 데이터베이스 사용자
  5. 저장을 클릭합니다. 주 구성원에게 역할이 부여됩니다.

gcloud

gcloud CLI를 사용하려면 Google Cloud CLI를 설치 및 초기화하거나 Cloud Shell을 사용합니다.

add-iam-policy-binding 명령어를 사용하여 IAM 주 구성원(사용자 계정 또는 서비스 계정)에 AlloyDB 사전 정의된 역할을 부여합니다.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: AlloyDB에 액세스할 수 있도록 사용 설정된 프로젝트의 ID입니다.
  • PRINCIPAL: 주 구성원의 유형 및 이메일 ID(이메일 주소)입니다.
    • 사용자 계정: user:EMAIL_ID
    • 서비스 계정: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: 주 구성원에게 부여할 역할입니다. 값은 다음 중 하나여야 합니다.

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.clientroles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    이러한 역할이 부여하는 권한에 대한 자세한 내용은 사전 정의된 AlloyDB IAM 역할을 참조하세요.