역할 및 권한

Cloud 애셋 인벤토리는 액세스 제어에 ID 및 액세스 관리(IAM)를 사용합니다. 모든 Cloud 애셋 인벤토리 API 메서드는 호출자에게 필수 권한을 요구합니다.

역할

애셋 메타데이터를 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 애셋 메타데이터를 사용하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

애셋 메타데이터를 사용하려면 다음 권한이 필요합니다.

  • 애셋 메타데이터를 보려는 경우:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • 애셋 메타데이터를 보고 피드를 사용하려는 경우:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

권한

다음 표에는 호출자가 Cloud 애셋 인벤토리에서 각 API 메서드를 호출하거나 Cloud 애셋 인벤토리를 사용하는 Google Cloud 도구(예: Google Cloud 콘솔 또는 gcloud CLI)를 사용하여 태스크를 수행하는 데 필요한 권한이 나와 있습니다.

Cloud 애셋 뷰어(roles/cloudasset.viewer) 및 Cloud 애셋 소유자(roles/cloudasset.owner) 역할에는 이러한 권한이 다수 포함되어 있습니다. 호출자에게 이러한 역할 중 하나와 서비스 사용량 소비자(roles/serviceusage.serviceUsageConsumer) 역할이 부여된 경우 Cloud 애셋 인벤토리를 사용하는 데 필요한 권한이 이미 있을 수 있습니다.

RPC

메서드 필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출

모든 Cloud 애셋 인벤토리 호출에는 serviceusage.services.use 권한이 필요합니다.

분석 API

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

다음 모든 권한:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get : 맞춤 역할로 정책 분석

Google Workspace를 사용하려면 추가 권한이 필요합니다.

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

BatchGetAssetsHistory

ExportAssets

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.exportAccessPolicy

    ACCESS_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportIamPolicy

    IAM_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOrgPolicy

    ORG_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOSInventories

    OS_INVENTORY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportResource

    RELATIONSHIP 또는 RESOURCE 콘텐츠 유형을 사용하는 경우

미지정 또는 RESOURCE 콘텐츠 유형의 메타데이터를 내보내는 경우 계정에 cloudasset.assets.exportResource 권한을 부여하는 대신 리소스 유형별 권한을 사용할 수 있습니다.

ListAssets

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형에 대한 cloudasset.assets.listResource

QueryAssets

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형 모두에 대한 cloudasset.assets.queryResource
피드 API

CreateFeed

cloudasset.feeds.create

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search API

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

리소스 소유자 보강을 검색하는 경우에는 cloudasset.assets.searchEnrichmentResourceOwners 도 필요합니다.

REST

메서드 필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출

모든 Cloud 애셋 인벤토리 호출에는 serviceusage.services.use 권한이 필요합니다.

분석 API

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

다음 모든 권한:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get : 맞춤 역할로 정책 분석

Google Workspace를 사용하려면 추가 권한이 필요합니다.

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

batchGetAssetsHistory

exportAssets

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.exportAccessPolicy

    ACCESS_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportIamPolicy

    IAM_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOrgPolicy

    ORG_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOSInventories

    OS_INVENTORY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportResource

    RELATIONSHIP 또는 RESOURCE 콘텐츠 유형을 사용하는 경우

미지정 또는 RESOURCE 콘텐츠 유형의 메타데이터를 내보내는 경우 계정에 cloudasset.assets.exportResource 권한을 부여하는 대신 리소스 유형별 권한을 사용할 수 있습니다.

assets.list

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형에 대한 cloudasset.assets.listResource

queryAssets

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형 모두에 대한 cloudasset.assets.queryResource
피드 API

feeds.create

cloudasset.feeds.create

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search API

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

리소스 소유자 보강을 검색하는 경우에는 cloudasset.assets.searchEnrichmentResourceOwners 도 필요합니다.

gcloud

위치 문 필수 권한
모든 API
모든 Cloud 애셋 인벤토리 호출

모든 Cloud 애셋 인벤토리 호출에는 serviceusage.services.use 권한이 필요합니다.

분석 API

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

다음 모든 권한:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get : 맞춤 역할로 정책 분석

Google Workspace를 사용하려면 추가 권한이 필요합니다.

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

다음 모든 권한:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

get-history

export

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.exportAccessPolicy

    ACCESS_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportIamPolicy

    IAM_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOrgPolicy

    ORG_POLICY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportOSInventories

    OS_INVENTORY 콘텐츠 유형을 사용하는 경우

  • cloudasset.assets.exportResource

    RELATIONSHIP 또는 RESOURCE 콘텐츠 유형을 사용하는 경우

미지정 또는 RESOURCE 콘텐츠 유형의 메타데이터를 내보내는 경우 계정에 cloudasset.assets.exportResource 권한을 부여하는 대신 리소스 유형별 권한을 사용할 수 있습니다.

list

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형에 대한 cloudasset.assets.listResource

query

콘텐츠 유형에 따라 다음 권한 중 하나:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • RELATIONSHIPRESOURCE 콘텐츠 유형 모두에 대한 cloudasset.assets.queryResource
피드 API

feeds create

cloudasset.feeds.create

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

또한 콘텐츠 유형에 따라 다음 권한 중 하나가 필요합니다.

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search API

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

리소스 소유자 보강을 검색하는 경우에는 cloudasset.assets.searchEnrichmentResourceOwners 도 필요합니다.

리소스 유형별 내보내기 권한

사용자에게 cloudasset.assets.exportResource 권한을 부여하면 모든 리소스 유형을 내보낼 수 있습니다. 사용자가 내보낼 수 있는 리소스 유형을 제한하려면 대신 리소스 유형별로 권한을 부여하면 됩니다.

예를 들어 사용자에게 cloudasset.assets.exportComputeDisks를 부여하면 리소스 유형 compute.googleapis.com/Disk 외에는 어떠한 리소스 유형도 내보낼 수 없습니다.

리소스 내보내기 권한은 RESOURCE 및 지정되지 않은 콘텐츠 유형에만 적용됩니다.

서비스 리소스 유형 리소스 내보내기 권한
App Engine appengine.googleapis.com/Application cloudasset.assets.exportAppengineApplications
appengine.googleapis.com/Service cloudasset.assets.exportAppengineServices
appengine.googleapis.com/Version cloudasset.assets.exportAppengineVersions
BigQuery bigquery.googleapis.com/Dataset cloudasset.assets.exportBigqueryDatasets
bigquery.googleapis.com/Table cloudasset.assets.exportBigqueryTables
Bigtable bigtableadmin.googleapis.com/Cluster cloudasset.assets.exportBigtableCluster
bigtableadmin.googleapis.com/Instance cloudasset.assets.exportBigtableInstance
bigtableadmin.googleapis.com/Table cloudasset.assets.exportBigtableTable
Cloud Billing cloudbilling.googleapis.com/BillingAccount cloudasset.assets.exportCloudbillingBillingAccounts
Cloud DNS dns.googleapis.com/ManagedZone cloudasset.assets.exportDnsManagedZones
dns.googleapis.com/Policy cloudasset.assets.exportDnsPolicies
Cloud Key Management Service cloudkms.googleapis.com/CryptoKey cloudasset.assets.exportCloudkmsCryptoKeys
cloudkms.googleapis.com/CryptoKeyVersion cloudasset.assets.exportCloudkmsCryptoKeyVersions
cloudkms.googleapis.com/ImportJob cloudasset.assets.exportCloudkmsImportJobs
cloudkms.googleapis.com/KeyRing cloudasset.assets.exportCloudkmsKeyRings
클라우드 OS 구성 osconfig.googleapis.com/PatchDeployment cloudasset.assets.exportPatchDeployments
Cloud SQL sqladmin.googleapis.com/Instance cloudasset.assets.exportSqladminInstances
Cloud Storage storage.googleapis.com/Bucket cloudasset.assets.exportStorageBuckets
Compute Engine compute.googleapis.com/Address cloudasset.assets.exportComputeAddress
compute.googleapis.com/Autoscaler cloudasset.assets.exportComputeAutoscalers
compute.googleapis.com/BackendBucket cloudasset.assets.exportComputeBackendBuckets
compute.googleapis.com/BackendService cloudasset.assets.exportComputeBackendServices
compute.googleapis.com/Disk cloudasset.assets.exportComputeDisks
compute.googleapis.com/Firewall cloudasset.assets.exportComputeFirewalls
compute.googleapis.com/ForwardingRule cloudasset.assets.exportComputeForwardingRules
compute.googleapis.com/GlobalAddress cloudasset.assets.exportComputeGlobalAddress
compute.googleapis.com/HealthCheck cloudasset.assets.exportComputeHealthChecks
compute.googleapis.com/HttpHealthCheck cloudasset.assets.exportComputeHttpHealthChecks
compute.googleapis.com/HttpsHealthCheck cloudasset.assets.exportComputeHttpsHealthChecks
compute.googleapis.com/Image cloudasset.assets.exportComputeImages
compute.googleapis.com/Instance cloudasset.assets.exportComputeInstances
compute.googleapis.com/InstanceGroup cloudasset.assets.exportComputeInstanceGroups
compute.googleapis.com/InstanceGroupManager cloudasset.assets.exportComputeInstanceGroupManagers
compute.googleapis.com/InstanceTemplate cloudasset.assets.exportComputeInstanceTemplates
compute.googleapis.com/Interconnect cloudasset.assets.exportComputeInterconnect
compute.googleapis.com/InterconnectAttachment cloudasset.assets.exportComputeInterconnectAttachment
compute.googleapis.com/License cloudasset.assets.exportComputeLicenses
compute.googleapis.com/Network cloudasset.assets.exportComputeNetworks
compute.googleapis.com/Project cloudasset.assets.exportComputeProjects
compute.googleapis.com/RegionDisk cloudasset.assets.exportComputeRegionDisk
compute.googleapis.com/Route cloudasset.assets.exportComputeRoutes
compute.googleapis.com/Router cloudasset.assets.exportComputeRouters
compute.googleapis.com/Snapshot cloudasset.assets.exportComputeSnapshots
compute.googleapis.com/SslCertificate cloudasset.assets.exportComputeSslCertificates
compute.googleapis.com/Subnetwork cloudasset.assets.exportComputeSubnetworks
compute.googleapis.com/TargetHttpProxy cloudasset.assets.exportComputeTargetHttpProxies
compute.googleapis.com/TargetHttpsProxy cloudasset.assets.exportComputeTargetHttpsProxies
compute.googleapis.com/TargetInstance cloudasset.assets.exportComputeTargetInstances
compute.googleapis.com/TargetPool cloudasset.assets.exportComputeTargetPools
compute.googleapis.com/TargetTcpProxy cloudasset.assets.exportComputeTargetTcpProxies
compute.googleapis.com/TargetSslProxy cloudasset.assets.exportComputeTargetSslProxies
compute.googleapis.com/TargetVpnGateway cloudasset.assets.exportComputeTargetVpnGateways
compute.googleapis.com/UrlMap cloudasset.assets.exportComputeUrlMaps
compute.googleapis.com/VpnTunnel cloudasset.assets.exportComputeVpnTunnels
Dataproc dataproc.googleapis.com/Cluster cloudasset.assets.exportDataprocClusters
dataproc.googleapis.com/Job cloudasset.assets.exportDataprocJobs
Google Kubernetes Engine container.googleapis.com/Cluster cloudasset.assets.exportContainerClusters
container.googleapis.com/NodePool cloudasset.assets.exportContainerNodepool
k8s.io/Namespace cloudasset.assets.exportContainerNamespace
k8s.io/Node cloudasset.assets.exportContainerNode
k8s.io/Pod cloudasset.assets.exportContainerPod
rbac.authorization.k8s.io/ClusterRole cloudasset.assets.exportContainerClusterrole
rbac.authorization.k8s.io/ClusterRoleBinding cloudasset.assets.exportContainerClusterrolebinding
rbac.authorization.k8s.io/Role cloudasset.assets.exportContainerRole
rbac.authorization.k8s.io/RoleBinding cloudasset.assets.exportContainerRolebinding
IAM iam.googleapis.com/Role cloudasset.assets.exportIamRoles
iam.googleapis.com/ServiceAccount cloudasset.assets.exportIamServiceAccounts
Pub/Sub pubsub.googleapis.com/Subscription cloudasset.assets.exportPubsubSubscriptions
pubsub.googleapis.com/Topic cloudasset.assets.exportPubsubTopics
Resource Manager cloudresourcemanager.googleapis.com/Folder cloudasset.assets.exportCloudresourcemanagerFolders
cloudresourcemanager.googleapis.com/Organization cloudasset.assets.exportCloudresourcemanagerOrganizations
cloudresourcemanager.googleapis.com/Project cloudasset.assets.exportCloudresourcemanagerProjects
Spanner spanner.googleapis.com/Backup cloudasset.assets.exportSpannerBackups
spanner.googleapis.com/Database cloudasset.assets.exportSpannerDatabases
spanner.googleapis.com/Instance cloudasset.assets.exportSpannerInstances

VPC 서비스 제어

Cloud 애셋 인벤토리와 함께 VPC 서비스 제어를 사용하여 애셋에 대한 추가 보안을 제공할 수 있습니다. VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

Cloud 애셋 인벤토리를 VPC 서비스 제어와 함께 사용할 때의 제한사항을 알아보려면 지원되는 제품 및 제한사항을 참조하세요.