IAM으로 액세스 제어

이 문서에서는 Dataplex Universal Catalog에서 액세스 제어를 위해 Google Cloud Identity and Access Management(IAM)를 사용하는 방법을 설명합니다.

IAM은 Google Cloud 리소스 수준에서 Dataplex Universal Catalog 리소스에 대한 액세스를 제어합니다. 항목 그룹이나 개별 항목 등의 Dataplex Universal Catalog 리소스를 관리할 수 있는 사용자를 결정합니다. 이러한 리소스는 Google Cloud API와Google Cloud 콘솔, Google Cloud CLI, 클라이언트 라이브러리 등의 도구를 사용하여 관리할 수 있습니다.

IAM에 대한 자세한 내용은 IAM 문서를 참고하세요.

IAM 개요

기본적으로 새 Google Cloud 프로젝트를 만들면 원래 프로젝트 생성자에게 소유자 역할이 부여됩니다. 기본적으로 다른 Google 관리형 서비스 계정이 있을 수도 있고 특정 작업을 실행하기 위해 API를 사용 설정할 때 생성될 수도 있습니다. 하지만 다른 개별 사용자는 Dataplex Universal Catalog 리소스를 비롯해 프로젝트 및 프로젝트 리소스에 액세스할 수 없습니다. 이 액세스 권한은 사용자를 프로젝트 구성원으로 명시적으로 추가하거나 특정 리소스에 역할을 부여한 경우에만 부여됩니다.

IAM을 사용하면 특정 Google Cloud리소스에 대한 세부적인 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. IAM을 사용하면 리소스에 필요한 액세스 권한만 부여하여 보안을 위한 최소 권한의 원칙을 채택할 수 있습니다.

IAM을 사용하면 어떤 리소스에 대해 누구(주 구성원)에게 어떤 액세스 권한(역할)이 있는지 제어할 수 있습니다.

주 구성원

주 구성원은 Google 계정(최종 사용자의 경우), 서비스 계정(앱 및 가상 머신의 경우), Google 그룹 또는 Google Workspace나 Cloud ID 도메인일 수 있습니다. 이러한 주 구성원은 리소스에 액세스할 수 있습니다. 역할을 부여할 때는 정책 바인딩 참조에 설명된 대로 식별자를 사용하여 주 구성원을 식별합니다.

자세한 내용은 IAM 개요: 주 구성원을 참고하세요.

Dataplex Universal Catalog 서비스 에이전트

Dataplex Universal Catalog는 Google Cloud 관리 서비스 계정(서비스 에이전트라고 함)을 사용하여 리소스에 액세스합니다. 서비스 에이전트는 Dataplex API를 사용 설정할 때 생성됩니다. 서비스 에이전트는 다음 이메일로 식별할 수 있습니다.

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

여기서 CUSTOMER_PROJECT_NUMBER는 Dataplex API를 사용 설정한 프로젝트의 프로젝트 번호입니다.

Dataplex Universal Catalog 서비스 에이전트가 Dataplex Universal Catalog 리소스를 관리하려면 프로젝트에 Dataplex 서비스 에이전트(roles/dataplex.serviceAgent) 역할이 필요합니다. 이 역할은 API를 사용 설정하면 자동으로 부여됩니다. 이 역할을 취소하면 Dataplex Universal Catalog가 제대로 작동하지 않을 수 있습니다.

리소스

Dataplex Universal Catalog에서 액세스 권한을 부여할 수 있는 리소스에는 프로젝트, 항목 그룹, 항목, 관점 유형, 항목 유형이 포함됩니다.

일부 API 메서드에는 여러 리소스에 대한 권한이 필요합니다. 예를 들어 항목에 관점을 연결하려면 항목과 관점 유형 모두에 대한 권한이 필요합니다.

역할

역할은 권한 모음입니다. 권한은 리소스에 대해 허용되는 작업을 결정합니다. 주 구성원에게 역할을 부여하면 역할에 포함된 모든 권한을 부여하게 됩니다.

주 구성원에게 하나 이상의 역할을 부여할 수 있습니다.

다른 Google Cloud 제품과 마찬가지로 Dataplex Universal Catalog는 세 가지 유형의 역할을 지원합니다.

  • 기본 역할: IAM 도입 전에 있었던 높은 권한이 있는 역할(소유자, 편집자, 뷰어)입니다. 기본 역할에 대한 자세한 내용은 기본 역할을 참고하세요.

  • 사전 정의된 역할: 특정 Google Cloud리소스에 대한 세분화된 액세스 권한을 제공합니다. 사전 정의된 역할에 대한 자세한 내용은 사전 정의된 역할을 참고하세요. Dataplex Universal Catalog IAM 역할 문서에는 Dataplex Universal Catalog 사전 정의된 역할이 자세히 설명되어 있습니다.

  • 맞춤 역할: 필요한 특정 권한만 부여하여 최소 권한의 원칙을 적용할 수 있습니다. 맞춤 역할에 대한 자세한 내용은 맞춤 역할을 참고하세요.

예를 들어 Dataplex 뷰어(roles/dataplex.viewer) 사전 정의된 역할은 Dataplex Universal Catalog 리소스에 대한 읽기 전용 액세스를 제공합니다. 이 역할을 가진 주 구성원은 항목 그룹, 항목, 관점 유형, 항목 유형을 볼 수 있지만 이를 만들거나, 업데이트하거나, 삭제할 수는 없습니다. 반대로 Dataplex Universal Catalog 관리자(roles/dataplex.admin)는 Dataplex Universal Catalog 리소스를 관리할 수 있는 광범위한 액세스 권한을 부여합니다.

역할 할당에 대한 자세한 내용은 액세스 권한 부여, 변경, 취소를 참고하세요.

특정 작업에 필요한 권한을 확인하려면 Dataplex Universal Catalog 역할Dataplex Universal Catalog 권한의 참조 페이지를 확인하세요.

예를 들어 프로젝트 리소스의 경우 Google 계정에 roles/dataplex.admin 역할을 할당할 수 있습니다. 그러면 해당 계정이 프로젝트에 있는 Dataplex Universal Catalog 리소스는 관리할 수 있어도 다른 리소스는 관리할 수 없습니다. 또한 IAM을 사용하여 프로젝트 팀 구성원에게 부여된 기본 역할을 관리할 수 있습니다.

리소스의 IAM 정책

IAM 정책을 사용하면 프로젝트 수준에서 역할을 관리하는 대신 이러한 리소스에 대한 IAM 역할을 관리할 수 있습니다. 이렇게 하면 공동작업자에게 작업에 필요한 특정 리소스에 대해서만 액세스 권한을 부여하는 최소 권한의 원칙을 유연하게 적용할 수 있습니다.

리소스는 상위 리소스의 정책을 상속합니다. 프로젝트 수준에서 정책을 설정하면 모든 하위 리소스로 정책이 상속됩니다. 리소스에 실제로 적용되는 정책은 해당 리소스에 설정된 정책과 계층 구조의 상위 리소스에서 상속된 정책의 통합된 정책입니다. 자세한 내용은 IAM 정책 계층 구조를 참고하세요.

Google Cloud 콘솔, Identity and Access Management API 또는 gcloud CLI를 사용하여 IAM 정책을 가져오고 설정할 수 있습니다.

다음 단계