Google Cloud 프로젝트를 만들면 만든 사람이 프로젝트의 유일한 사용자가 됩니다. 기본적으로 다른 사용자는 프로젝트나 프로젝트 리소스에 액세스할 수 없습니다.
Identity and Access Management(IAM)는 클러스터와 같은 Google Cloud 리소스에 대한 액세스를 관리합니다. 권한은 IAM 주 구성원 에게 할당됩니다.
IAM을 사용하면 주 구성원 에게 역할 을 부여할 수 있습니다. 역할은 권한 모음이며, 주 구성원에게 부여되는 경우 하나 이상의 Google Cloud 리소스 에 대한 액세스를 제어합니다. 다음과 같은 유형의 역할을 사용할 수 있습니다.
기본 역할 은 소유자, 편집자, 뷰어로 제한된 대략적인 권한을 제공합니다.사전 정의된 역할 은 기본 역할보다 세분화된 액세스 권한을 제공하며 다양한 일반 사용 사례에 적용됩니다.커스텀 역할 을 사용하면 고유한 권한 조합을 만들 수 있습니다.
주 구성원은 다음 중 하나일 수 있습니다.
사용자 계정
서비스 계정
Google Workspace Google 그룹
Google Workspace 도메인
Cloud ID 도메인
IAM 정책 유형
IAM은 다음과 같은 정책 유형을 지원합니다.
허용 정책 : 주 구성원에게 역할을 부여합니다. 자세한 내용은 허용 정책 을 참조하세요.거부 정책 : 주 구성원에게 부여된 역할에 관계없이 주 구성원이 특정 IAM 권한을 사용하지 못하게 합니다. 자세한 내용은 거부 정책 을 참조하세요.
IAM 허용 정책이 특정 주 구성원에게 관련 권한이 포함된 역할을 부여하더라도 거부 정책을 사용하면 해당 주 구성원이 프로젝트, 폴더 또는 조직에서 특정 작업을 수행하지 못하도록 제한할 수 있습니다.
사전 정의된 역할
IAM은 특정 Google Cloud 리소스에 대한 세분화된 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지하도록 사전 정의된 역할을 제공합니다. Google Cloud 는 이러한 역할을 생성 및 유지하고 Google Cloud Observability에서 새 기능을 추가하는 경우와 같이 필요에 따라 자동으로 권한을 업데이트합니다.
Google Cloud Observability의 사전 정의된 역할에는 여러 제품 영역에 걸쳐 있는 기능에 대한 권한이 포함되어 있습니다. 이러한 이유로 observability.scopes.get과 같은 일부 권한이 해당 제품 영역의 사전 정의된 역할에 포함되어 있을 수 있습니다. 예를 들어 로그 뷰어 역할(roles/logging.viewer)에는 여러 로깅 관련 권한 외에도 observability.scopes.get 권한이 포함됩니다.
다음 표에는 Google Cloud Observability의 사전 정의된 역할이 나와 있습니다. 이 표에서는 각 역할에 대해 역할 제목, 설명, 포함된 권한, 역할을 부여할 수 있는 최저 수준의 리소스 유형을 보여줍니다.
Google Cloud 프로젝트 수준에서 사전 정의된 역할을 부여하거나 또는 대부분의 경우 리소스 계층 구조 에서 더 높은 유형을 부여할 수 있습니다.
역할에 포함된 모든 개별 권한의 목록을 가져오려면 역할 메타데이터 가져오기 를 참조하세요.
모니터링 가능성 역할
Role
Permissions
Observability Admin
Beta
(roles/observability.admin )
Full access to Observability resources.
observability.*
observability.analyticsViews.create observability.analyticsViews.delete observability.analyticsViews.get observability.analyticsViews.list observability.analyticsViews.update observability.buckets.createobservability.buckets.deleteobservability.buckets.getobservability.buckets.listobservability.buckets.undeleteobservability.buckets.updateobservability.datasets.createobservability.datasets.deleteobservability.datasets.getobservability.datasets.listobservability.datasets.undelete observability.datasets.updateobservability.links.createobservability.links.deleteobservability.links.getobservability.links.listobservability.links.updateobservability.locations.getobservability.locations.listobservability.operations.cancel observability.operations.delete observability.operations.getobservability.operations.listobservability.scopes.getobservability.scopes.updateobservability.settings.getobservability.settings.updateobservability.traceScopes.create observability.traceScopes.delete observability.traceScopes.getobservability.traceScopes.listobservability.traceScopes.update observability.views.accessobservability.views.createobservability.views.deleteobservability.views.getobservability.views.listobservability.views.update
Observability Editor
Beta
(roles/observability.editor )
Edit access to Observability resources.
observability.analyticsViews.*
observability.analyticsViews.create observability.analyticsViews.delete observability.analyticsViews.get observability.analyticsViews.list observability.analyticsViews.update
observability.buckets.create
observability.buckets.get
observability.buckets.list
observability.buckets.update
observability.datasets.create
observability.datasets.get
observability.datasets.list
observability.datasets.update
observability.links.*
observability.links.createobservability.links.deleteobservability.links.getobservability.links.listobservability.links.update
observability.locations.*
observability.locations.getobservability.locations.list
observability.operations.*
observability.operations.cancel observability.operations.delete observability.operations.getobservability.operations.list
observability.scopes.*
observability.scopes.getobservability.scopes.update
observability.settings.*
observability.settings.getobservability.settings.update
observability.traceScopes.*
observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.getobservability.traceScopes.listobservability.traceScopes.update
observability.views.create
observability.views.delete
observability.views.get
observability.views.list
observability.views.update
Observability Viewer
Beta
(roles/observability.viewer )
Read only access to Observability resources.
observability.analyticsViews.get
observability.analyticsViews.list
observability.buckets.get
observability.buckets.list
observability.datasets.get
observability.datasets.list
observability.links.get
observability.links.list
observability.locations.*
observability.locations.getobservability.locations.list
observability.operations.get
observability.operations.list
observability.scopes.get
observability.settings.get
observability.traceScopes.get
observability.traceScopes.list
observability.views.get
observability.views.list
Observability Analytics User
Beta
(roles/observability.analyticsUser )
Grants permissions to use Cloud Observability Analytics.
logging.queries.getShared
logging.queries.listShared
logging.queries.usePrivate
observability.analyticsViews.*
observability.analyticsViews.create observability.analyticsViews.delete observability.analyticsViews.get observability.analyticsViews.list observability.analyticsViews.update
observability.buckets.get
observability.buckets.list
observability.datasets.get
observability.datasets.list
observability.links.get
observability.links.list
observability.locations.*
observability.locations.getobservability.locations.list
observability.operations.get
observability.operations.list
observability.scopes.get
observability.settings.get
observability.traceScopes.get
observability.traceScopes.list
observability.views.get
observability.views.list
Observability Scopes Editor
Beta
(roles/observability.scopesEditor )
Grants permission to view and edit Observability, Logging, Trace, and Monitoring scopes
logging.logScopes.*
logging.logScopes.createlogging.logScopes.deletelogging.logScopes.getlogging.logScopes.listlogging.logScopes.update
monitoring.metricsScopes.link
observability.scopes.*
observability.scopes.getobservability.scopes.update
observability.traceScopes.*
observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.getobservability.traceScopes.listobservability.traceScopes.update
Observability View Accessor
Beta
(roles/observability.viewAccessor )
Read only access to data defined by an Observability View.
observability.views.access
Service agent roles
Service agent roles should only be granted to service agents .
Role
Permissions
Observability Service Agent
(roles/observability.serviceAgent )
Grants Observability service account the ability to list, create and link datasets in the consumer project.
Warning: Do not grant service agent roles to any principals except
service agents .
bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.link
Telemetry API 역할
Role
Permissions
Telemetry Admin
(roles/telemetry.admin )
Admin role for telemetry
resourcemanager.projects.get
resourcemanager.projects.list
telemetry.*
telemetry.consumers.getIamPolicy telemetry.consumers.setIamPolicy telemetry.consumers.writeLogstelemetry.consumers.writeMetrics telemetry.consumers.writeTraces telemetry.traces.write
Telemetry Editor
(roles/telemetry.editor )
Editor role for telemetry
resourcemanager.projects.get
resourcemanager.projects.list
telemetry.traces.write
Consumer Admin
Beta
(roles/telemetry.consumerAdmin )
Grants permission management access to consumer resources.
telemetry.consumers.getIamPolicy
telemetry.consumers.setIamPolicy
Cloud Telemetry Logs Writer
Beta
(roles/telemetry.logsWriter )
Access to write logs.
logging.logEntries.create
Cloud Telemetry Metrics Writer
(roles/telemetry.metricsWriter )
Access to write metrics.
monitoring.timeSeries.create
Integrated Service Telemetry Logs Writer
Beta
(roles/telemetry.serviceLogsWriter )
Allows an onboarded service to write log data to a destination.
telemetry.consumers.writeLogs
Integrated Service Telemetry Metrics Writer
Beta
(roles/telemetry.serviceMetricsWriter )
Allows an onboarded service to write metrics data to a destination.
telemetry.consumers.writeMetrics
Integrated Service Telemetry Writer
Beta
(roles/telemetry.serviceTelemetryWriter )
Allows an onboarded service to write all telemetry data to a destination.
telemetry.consumers.writeLogs
telemetry.consumers.writeMetrics
telemetry.consumers.writeTraces
Integrated Service Telemetry Traces Writer
Beta
(roles/telemetry.serviceTracesWriter )
Allows an onboarded service to write trace data to a destination.
telemetry.consumers.writeTraces
Cloud Telemetry Traces Writer
(roles/telemetry.tracesWriter )
Access to write trace spans.
telemetry.traces.write
Cloud Telemetry Writer
(roles/telemetry.writer )
Full access to write all telemetry data.
logging.logEntries.create
monitoring.timeSeries.create
telemetry.traces.write
다음 단계
