엄격한 act-as 모드를 사용하면 Dataform에서 다음과 같은 사용자 작업에 대한 추가 보안 검사를 사용할 수 있습니다.
- 저장소 만들기 또는 업데이트
- 워크플로 구성 만들기 또는 업데이트
- 워크플로 호출 만들기
- 출시 구성 업데이트
이 추가 보안 검사를 사용하려면 이러한 작업을 실행하는 사용자에게 워크플로 실행에 사용되는 사용자 인증 정보가 있는 서비스 계정인 유효한 서비스 계정에 대한 iam.serviceAccounts.actAs 권한이 있어야 합니다. 서비스 계정에 대한 자세한 내용은 리소스에 서비스 계정 연결을 참고하세요.
다음과 같은 방법으로 이 모드를 사용 설정할 수 있습니다.
- 저장소를 만들 때
strict_act_as_checks저장소 플래그를 사용하여 기존 저장소를 업데이트할 때
필요한 역할
이 문서의 태스크를 완료하는 데 필요한 권한을 얻으려면 관리자에게 맞춤 서비스 계정에 대한 서비스 계정 사용자 (roles/iam.serviceAccountUser) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
유효 서비스 계정 확인
리소스 유형 및 다음 조건에 따라 워크플로를 실행하는 유효한 서비스 계정을 확인할 수 있습니다.
| 리소스 유형 | 유효 서비스 계정 |
|---|---|
| 저장소 | 저장소를 만들 때 서비스 계정을 선택하면 그렇지 않으면 기본적으로 Dataform 서비스 계정이 사용됩니다. |
| 워크플로 구성 | 워크플로 구성을 만들 때 서비스 계정을 선택할 수 있습니다. 그렇지 않으면 기본적으로 저장소의 Dataform 서비스 계정이 사용됩니다. |
| 워크플로 호출 | 컴파일 결과가 컴파일 결과에서 워크플로 호출을 만드는 경우 그렇지 않으면 기본적으로 저장소의 Dataform 서비스 계정이 사용됩니다. |
서비스 계정 사용자 IAM 역할 부여
서비스 계정 사용자 역할 (roles/iam.serviceAccountUser)에는 엄격한 act-as 모드에 필요한 iam.serviceAccounts.actAs 권한이 포함되어 있습니다. Dataform API를 사용할 때는 호출하는 projects.locations.repositories 메서드에 따라 유효한 서비스 계정에 서비스 계정 사용자 역할이 부여되어 있어야 합니다.
create또는patchRepository.ServiceAccount속성이 설정된 경우 해당 속성에 서비스 계정 사용자 역할이 부여되어야 합니다.patch메서드를 호출하는 경우 저장소의 모든 워크플로 구성에 있는 모든 유효한 서비스 계정에 서비스 계정 사용자 역할이 부여되어 있어야 합니다.
workflowConfigs.create또는workflowConfigs.patch- 워크플로 구성에 사용된 실제 서비스 계정에 서비스 계정 사용자 역할이 부여되어 있어야 합니다.
releaseConfigs.patch- 이 출시 구성을 사용하는 워크플로 구성에 사용되는 모든 유효한 서비스 계정에 서비스 계정 사용자 역할이 부여되어 있어야 합니다.
workflowInvocations.create- 워크플로 호출에 사용된 실제 서비스 계정에 서비스 계정 사용자 역할이 부여되어 있어야 합니다.
자세한 내용은 워크플로 구성을 만들기 위한 필수 역할 및 출시 구성을 만들기 위한 필수 역할을 참고하세요.
저장소의 자동 출시
act-as 모드가 사용 설정되면 Dataform 저장소 출시 구성의 자동 출시가 사용 중지됩니다. 서드 파티 저장소에 연결된 저장소에는 적용되지 않습니다.
또한 act-as 모드를 사용 설정하면 저장소에 Cron 일정을 사용하여 설정된 자동 출시 구성이 있는지 확인합니다. 서드 파티 저장소에 연결된 저장소에는 적용되지 않습니다.
다음 단계
- 저장소를 만드는 방법에 관한 자세한 내용은 저장소 만들기를 참고하세요.
- 워크플로 구성을 만드는 방법을 알아보려면 실행 예약을 참고하세요.
- 출시 구성을 만드는 방법을 알아보려면 컴파일 구성을 참고하세요.