역할 및 권한

Google Cloud 는 특정 Google Cloud 리소스에 대한 세부적인 액세스 권한을 제공하고 다른 리소스에 대한 액세스를 방지할 수 있는 Identity and Access Management (IAM)를 제공합니다. 이 페이지에서는 서비스 확장 프로그램의 역할과 권한에 대해 설명합니다.

IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

역할은 IAM 권한의 모음입니다. 사용자, 그룹, 서비스 계정을 포함하여 주 구성원에게 권한을 제공하려면 주 구성원에게 역할을 부여합니다. IAM 정책을 설정하여 누가 어떤 리소스에 무슨 권한을 갖는지를 제어할 수 있습니다. IAM 정책은 주 구성원에게 특정 역할을 부여하여 특정 권한을 제공합니다.

IAM 역할에 대한 자세한 내용은 역할 및 권한을 참고하세요.

서비스 확장 프로그램의 사전 정의된 역할 및 권한

서비스 확장 프로그램은 프로젝트 수준에서 IAM 권한을 지원합니다.

다음 표에는 서비스 확장 프로그램 IAM 역할과 각 역할에 포함된 권한이 나열되어 있습니다.

역할 권한

서비스 확장 프로그램 관리자

(roles/networkservices.serviceExtensionsAdmin)

확장 프로그램을 생성, 업데이트, 나열, 보기, 삭제할 수 있는 권한

 networkservices.authzExtensions.create
networkservices.authzExtensions.delete
networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.authzExtensions.update
networkservices.authzExtensions.use
networkservices.lbEdgeExtensions.create
networkservices.lbEdgeExtensions.delete
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbEdgeExtensions.update
networkservices.lbRouteExtensions.create
networkservices.lbRouteExtensions.delete
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbRouteExtensions.update
networkservices.lbTrafficExtensions.create
networkservices.lbTrafficExtensions.delete
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.lbTrafficExtensions.update
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmActions.create
networkservices.wasmActions.delete
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list
networkservices.wasmPlugins.create
networkservices.wasmPlugins.update
networkservices.wasmPlugins.delete
networkservices.wasmPlugins.use

서비스 확장 프로그램 뷰어

(roles/networkservices.serviceExtensionsViewer)

확장 프로그램을 나열하고 볼 수 있는 권한

 networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list

다음 표에는 다른 서비스에 필요한 IAM 역할과 각 역할에 포함된 권한이 나와 있습니다.

역할 권한

Compute 부하 분산기 관리자

(roles/compute.loadBalancerAdmin)

전달 규칙을 업데이트할 수 있는 권한입니다. 전달 규칙에 연결되는 확장 프로그램을 만들고 업데이트하는 동안 필요합니다.

compute.forwardingRules.update
compute.globalForwardingRules.update

Compute 부하 분산기 서비스 사용자

(roles/compute.loadBalancerServiceUser)

백엔드 서비스를 사용할 수 있는 권한 백엔드 서비스를 확장 프로그램 서비스로 사용하는 확장 프로그램을 만들고 업데이트하는 동안 필요합니다.

compute.backendServices.use
compute.regionBackendBuckets.use

액세스 제어 관리

프로젝트 수준에서 액세스 제어를 설정하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. 프로젝트를 선택합니다.

  3. 추가를 클릭합니다.

  4. 새 주 구성원에 새 주 구성원의 이메일 주소를 입력합니다.

  5. 필요한 역할을 선택합니다.

  6. 저장을 클릭합니다.

  7. 부여한 역할과 함께 주 구성원이 나열되는지 확인합니다.

역할의 권한 식별

역할에 하나 이상의 권한이 포함되어 있는지 확인하려면 다음 방법 중 하나를 사용하면 됩니다.

다음 단계