권장 사용자 그룹 및 Identity and Access Management 역할
컬렉션을 사용해 정리하기
내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.
다음 표에서는Google Cloud에서 워크로드를 실행하기 위한 시작점으로 권장되는 Identity and Access Management (IAM) 역할을 설명합니다. 환경 내에서 직무 분리를 구현하고 위험 감수 범위 및 조직 구조에 맞게 IAM 역할을 구성합니다.
조직의 사용자 그룹에 이러한 역할을 할당할 때 특정 사용 사례와 데이터 액세스 요구사항을 해결하기 위해 더 세밀한 역할을 적용해야 하는 위치를 고려하세요. 매우 민감한 데이터를 사용하는 환경 (예: 민감한 정보를 사용하여 모델을 학습시키는 경우)에서는 저장된 데이터에 대한 액세스를 허용하는 데 사용할 수 있는 역할에 관한 자세한 내용은 보안 BigQuery 데이터 웨어하우스로 데이터 가져오기를 참고하세요.
다음 표에서는 역할 권장사항을 설명합니다. 기본 권장사항과 사용 사례별 권장사항을 적절하게 적용합니다.
서비스
그룹
설명
IAM 역할
기본
grp-gcp-org-admin
이 그룹은 조직에 속한 리소스를 관리합니다.
이 역할은 신중하게 할당하세요. 조직 관리자는 모든 Google Cloud 리소스에 액세스할 수 있습니다. 또는 이 함수는 권한이 다양하므로 그룹을 만드는 대신 개별 계정을 사용하는 것이 좋습니다.
조직 관리자 (roles/resourcemanager.organizationAdmin)
폴더 관리자 (roles/resourcemanager.folderAdmin)
프로젝트 생성자(roles/resourcemanager.projectCreator)
결제 계정 사용자 (roles/billing.user)
조직 역할 관리자(roles/iam.organizationRoleAdmin)
조직 정책 관리자(roles/orgpolicy.policyAdmin)
보안 센터 관리자(roles/securitycenter.admin)
지원 계정 관리자 (roles/cloudsupport.admin)
기본
grp-gcp-network-admins
이 그룹은 네트워크, 서브넷, 방화벽 규칙, 네트워크 기기(Cloud Router, Cloud VPN, Cloud 부하 분산기 등)를 만들 수 있습니다.
Compute 네트워크 관리자(roles/compute.networkAdmin)
Compute 공유 VPC 관리자 (roles/compute.xpnAdmin)
Compute 보안 관리자(roles/compute.securityAdmin)
폴더 뷰어 (roles/resourcemanager.folderViewer)
기본
grp-gcp-billing-admin
이 그룹은 결제 계정을 설정하고 사용량을 모니터링합니다.
결제 계정 관리자(roles/billing.admin)
결제 계정 생성자 (roles/billing.creator)
조직 뷰어(roles/resourcemanager.organizationViewer)
기본
grp-gcp-security-admins
이 그룹은 액세스 관리 및 조직 제약 조건 정책을 비롯한 전체 조직의 보안 정책을 수립하고 관리합니다.
Google Cloud 보안 인프라를 계획하려면 엔터프라이즈 기반 청사진을 참고하세요.
BigQuery 데이터 뷰어(roles/bigquery.dataViewer)
Compute 뷰어 (roles/compute.viewer)
폴더 IAM 관리자(roles/resourcemanager.folderIamAdmin)
Kubernetes Engine 뷰어 (roles/container.viewer)
로그 구성 작성자(roles/logging.configWriter)
조직 역할 뷰어 (roles/iam.organizationRoleViewer)
조직 정책 관리자(roles/orgpolicy.policyAdmin)
조직 정책 뷰어 (roles/orgpolicy.policyViewer)
비공개 로그 뷰어(roles/logging.privateLogViewer)
보안 센터 관리자(roles/securitycenter.admin)
보안 검토자(roles/iam.securityReviewer)
기본
grp-gcp-billing-viewer
이 그룹은 프로젝트 비용을 모니터링합니다. 일반적으로 그룹 구성원은 재무팀 소속입니다.
결제 계정 뷰어 (roles/billing.viewer)
기본
grp-gcp-platform-viewer
이 그룹은 Google Cloud조직 전체의 리소스 정보를 검토합니다.
뷰어(roles/viewer)
기본
grp-gcp-security-reviewer
이 그룹은 클라우드 보안을 검토합니다.
보안 검토자(roles/iam.securityReviewer)
기본
grp-gcp-network-viewer
이 그룹은 네트워크 구성을 검토합니다.
Compute 네트워크 뷰어(roles/compute.networkViewer)
기본
grp-gcp-audit-viewer
이 그룹은 감사 로그를 볼 수 있습니다.
비공개 로그 뷰어(roles/logging.privateLogViewer)
뷰어(roles/viewer)
기본
grp-gcp-scc-admin
이 그룹은 Security Command Center를 관리합니다.
보안 센터 관리자(roles/securitycenter.admin)
기본
grp-gcp-secrets-admin
이 그룹은 Secret Manager에서 보안 비밀을 관리합니다.
Secret Manager 관리자(roles/secretmanager.admin)
Agent Platform 관리자
grp-gcp-vertex-ai-admin
이 그룹에는 Agent Platform의 모든 리소스에 대한 전체 액세스 권한이 있습니다.
Vertex AI 관리자(roles/aiplatform.admin)
Agent Platform 뷰어
grp-gcp-vertex-ai-viewer
이 그룹은 Agent Platform의 모든 리소스를 볼 수 있습니다.
Vertex AI 뷰어 (roles/aiplatform.viewer)
Agent Platform 사용자
grp-gcp-vertex-ai-user
이 그룹은 Agent Platform의 모든 리소스를 사용합니다.
Vertex AI 사용자 (roles/aiplatform.user)
Agent Platform Workbench 관리자
grp-gcp-vertex-ai-notebook-admin
이 그룹은 Agent Platform Workbench의 모든 런타임 템플릿 및 런타임에 대한 전체 액세스 권한을 가집니다.
노트북 런타임 관리자 (roles/aiplatform.notebookRuntimeAdmin)
Agent Platform Workbench 사용자
grp-gcp-vertex-ai-notebook-user
이 그룹은 런타임 템플릿을 사용하여 런타임 리소스를 만들고 생성한 런타임 리소스를 관리합니다.
노트북 런타임 사용자 (roles/aiplatform.notebookRuntimeUser)
