이 페이지에서는 Google Cloud 리소스에 대한 액세스를 제어하는 데 사용해야 하는 역할의 유형(사전 정의된 역할, 커스텀 역할 또는 기본 역할)을 설명합니다.
다음은 사용할 역할 유형을 선택하는 데 도움이 되는 권장사항을 요약한 것입니다.
- Google에서 관리하고 보안과 편의성을 균형 있게 제공하는 사전 정의된 역할을 우선적으로 사용하는 것이 좋습니다.
- 최소 권한의 원칙을 엄격하게 준수하는 역할이 필요하고 보안 요구사항에 맞는 사전 정의된 역할을 찾을 수 없으면 커스텀 역할을 사용합니다.
- 대체할 역할이 없거나 테스트 환경에서 사용하는 경우가 아니라면 기본 역할을 사용하지 마세요.
사전 정의된 역할을 사용하는 경우
일반적으로 기본 역할이나 커스텀 역할 대신 사전 정의된 역할을 사용하는 것이 좋습니다. 사전 정의된 역할은 특정Google Cloud 리소스에 대한 세분화된 액세스 권한을 부여하고 Google에서 유지관리되며Google Cloud에 새로운 권한, 기능 또는 서비스가 추가되면 자동으로 업데이트됩니다.
하지만 커스텀 역할이나 기본 역할을 사용해야 하는 경우도 있습니다. 다음 섹션에서는 이러한 사례를 설명합니다.
커스텀 역할을 사용하는 경우
사전 정의된 역할과 달리 커스텀 역할은 Google에서 유지관리되지 않습니다. 즉, Google Cloud 에서 새로운 권한, 기능 또는 서비스를 추가해도 커스텀 역할은 자동으로 업데이트되지 않습니다. 따라서 니즈를 충족하는 가장 제한적인 사전 정의된 역할을 부여하는 것이 좋습니다.
하지만 다음과 같은 경우에는 커스텀 역할을 만들어 부여하는 것이 적합할 수 있습니다.
- 주 구성원에게 권한이 필요하지만 해당 권한이 포함된 각 사전 정의된 역할에는 주 구성원이 필요하지 않고 가져서는 안 되는 권한도 포함됩니다.
- 역할 권장사항을 사용하여 과도한 권한이 부여된 역할 부여를 더 적절한 역할 부여로 바꿉니다. 경우에 따라 커스텀 역할 만들기 권장사항이 표시될 수 있습니다.
커스텀 역할을 사용할 때는 다음 제한사항에 유의하세요.
- 커스텀 역할에는 최대 3,000개의 권한이 포함될 수 있습니다.
- 커스텀 역할의 제목, 설명, 권한 이름의 최대 총 크기는 64KB입니다.
만들 수 있는 커스텀 역할의 수에는 제한이 있습니다.
- 조직에 조직 수준 커스텀 역할을 최대 300개까지 만들 수 있습니다.
- 조직의 각 프로젝트에서 프로젝트 수준 커스텀 역할을 최대 300개까지 만들 수 있습니다.
기본 역할을 사용하는 경우
기본 역할에는 모든 Google Cloud 서비스에 사용되는 수천 개의 권한이 포함되어 있습니다. 프로덕션 환경에서는 대체 역할이 없는 경우가 아니라면 기본 역할을 부여하지 말아야 합니다. 대신 니즈를 충족하는 가장 제한된 사전 정의된 역할 또는 커스텀 역할을 부여합니다.
기본 역할을 대체해야 하는 경우에는 역할 권장사항을 사용하여 대신 부여할 역할을 결정하면 됩니다. 또한 정책 시뮬레이터를 사용하여 역할을 변경해도 주 구성원 액세스가 영향을 받지 않도록 할 수 있습니다.
프로젝트에 더 광범위한 권한을 부여하려는 경우 기본 역할을 부여하는 것이 적합할 수 있습니다. 개발 또는 테스트 환경에서 권한을 부여할 때 이러한 사례가 자주 발생합니다.
다음 단계
- 적절한 사전 정의된 역할을 찾는 방법 알아보기
- 커스텀 역할을 만드는 방법 알아보기
- 기본 역할 자세히 알아보기