생성형 AI에 권장되는 사용자 그룹 및 Identity and Access Management 역할

다음 표에서는Google Cloud에서 생성형 AI 워크로드를 실행하기 위한 시작점으로 권장되는 Identity and Access Management (IAM) 역할을 설명합니다. 환경 내에서 직무 분리를 구현하고 위험 감수 범위 및 조직 구조에 맞게 IAM 역할을 구성합니다.

조직의 사용자 그룹에 이러한 역할을 할당할 때 특정 생성형 AI 사용 사례와 데이터 액세스 요구사항을 해결하기 위해 더 세분화된 역할을 적용해야 하는 위치를 고려하세요. 매우 민감한 데이터를 사용하여 모델을 학습시키는 환경의 경우 저장된 데이터에 대한 액세스를 허용하는 데 사용할 수 있는 역할에 관한 자세한 내용은 보안 BigQuery 데이터 웨어하우스로 데이터 가져오기를 참고하세요.

다음 표에서는 역할 권장사항을 설명합니다. 모든 생성형 AI 워크로드에 기본 권장사항을 적용하고 Vertex AI를 사용하는 생성형 AI 워크로드에 Vertex AI 관련 권장사항을 적용합니다.

서비스 그룹 설명 IAM 역할

기본

grp-gcp-org-admin

이 그룹은 조직에 속한 리소스를 관리합니다. 이 역할은 신중하게 할당하세요. 조직 관리자는 모든 Google Cloud 리소스에 액세스할 수 있습니다. 또는 이 함수는 권한이 다양하므로 그룹을 만드는 대신 개별 계정을 사용하는 것이 좋습니다.
  • 조직 관리자 (roles/resourcemanager.organizationAdmin)
  • 폴더 관리자 (roles/resourcemanager.folderAdmin)
  • 프로젝트 생성자(roles/resourcemanager.projectCreator)
  • 결제 계정 사용자 (roles/billing.user)
  • 조직 역할 관리자(roles/iam.organizationRoleAdmin)
  • 조직 정책 관리자(roles/orgpolicy.policyAdmin)
  • 보안 센터 관리자(roles/securitycenter.admin)
  • 지원 계정 관리자 (roles/cloudsupport.admin)

기본

grp-gcp-network-admins

이 그룹은 네트워크, 서브넷, 방화벽 규칙, 네트워크 기기(Cloud Router, Cloud VPN, Cloud 부하 분산기 등)를 만들 수 있습니다.
  • Compute 네트워크 관리자(roles/compute.networkAdmin)
  • Compute 공유 VPC 관리자 (roles/compute.xpnAdmin)
  • Compute 보안 관리자(roles/compute.securityAdmin)
  • 폴더 뷰어 (roles/resourcemanager.folderViewer)

기본

grp-gcp-billing-admin

이 그룹은 결제 계정을 설정하고 사용량을 모니터링합니다.
  • 결제 계정 관리자(roles/billing.admin)
  • 결제 계정 생성자 (roles/billing.creator)
  • 조직 뷰어(roles/resourcemanager.organizationViewer)

기본

grp-gcp-security-admins

이 그룹은 액세스 관리 및 조직 제약조건 정책을 비롯한 전체 조직의 보안 정책을 수립하고 관리합니다. Google Cloud 보안 인프라를 계획하려면 엔터프라이즈 기반 청사진을 참고하세요.
  • BigQuery 데이터 뷰어(roles/bigquery.dataViewer)
  • Compute 뷰어 (roles/compute.viewer)
  • 폴더 IAM 관리자(roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine 뷰어 (roles/container.viewer)
  • 로그 구성 작성자(roles/logging.configWriter)
  • 조직 역할 뷰어 (roles/iam.organizationRoleViewer)
  • 조직 정책 관리자(roles/orgpolicy.policyAdmin)
  • 조직 정책 뷰어 (roles/orgpolicy.policyViewer)
  • 비공개 로그 뷰어(roles/logging.privateLogViewer)
  • 보안 센터 관리자(roles/securitycenter.admin)
  • 보안 검토자(roles/iam.securityReviewer)

기본

grp-gcp-billing-viewer

이 그룹은 프로젝트 비용을 모니터링합니다. 일반적으로 그룹 구성원은 재무팀 소속입니다.
  • 결제 계정 뷰어 (roles/billing.viewer)

기본

grp-gcp-platform-viewer

이 그룹은 Google Cloud조직 전체의 리소스 정보를 검토합니다.
  • 뷰어(roles/viewer)

기본

grp-gcp-security-reviewer

이 그룹은 클라우드 보안을 검토합니다.
  • 보안 검토자(roles/iam.securityReviewer)

기본

grp-gcp-network-viewer

이 그룹은 네트워크 구성을 검토합니다.
  • Compute 네트워크 뷰어(roles/compute.networkViewer)

기본

grp-gcp-audit-viewer

이 그룹은 감사 로그를 볼 수 있습니다.
  • 비공개 로그 뷰어(roles/logging.privateLogViewer)
  • 뷰어(roles/viewer)

기본

grp-gcp-scc-admin

이 그룹은 Security Command Center를 관리합니다.
  • 보안 센터 관리자(roles/securitycenter.admin)

기본

grp-gcp-secrets-admin

이 그룹은 Secret Manager에서 보안 비밀을 관리합니다.
  • Secret Manager 관리자(roles/secretmanager.admin)

Vertex AI 관리자

grp-gcp-vertex-ai-admin

이 그룹에는 Vertex AI의 모든 리소스에 대한 전체 액세스 권한이 있습니다.
  • Vertex AI 관리자(roles/aiplatform.admin))

Vertex AI 뷰어

grp-gcp-vertex-ai-viewer

이 그룹은 Vertex AI의 모든 리소스를 볼 수 있습니다.
  • Vertex AI 뷰어 (roles/aiplatform.viewer)

Vertex AI 사용자

grp-gcp-vertex-ai-user

이 그룹은 Vertex AI의 모든 리소스를 사용합니다.
  • Vertex AI 사용자 (roles/aiplatform.user)

Vertex AI Workbench 관리자

grp-gcp-vertex-ai-notebook-admin

이 그룹은 Vertex AI Workbench의 모든 런타임 템플릿 및 런타임에 대한 전체 액세스 권한을 보유합니다.
  • 노트북 런타임 관리자 (roles/aiplatform.notebookRuntimeAdmin)

Vertex AI Workbench 사용자

grp-gcp-vertex-ai-notebook-user

이 그룹은 런타임 템플릿을 사용하여 런타임 리소스를 만들고 생성한 런타임 리소스를 관리합니다.
  • 노트북 런타임 사용자 (roles/aiplatform.notebookRuntimeUser)

다음 단계