IAM으로 액세스 제어

이 페이지에서는 인프라 관리자 역할 및 권한에 대해 설명합니다.

Infra Manager는 Identity and Access Management (IAM)를 사용하여 서비스에 대한 액세스를 제어합니다. Infra Manager로 리소스를 배포하는 액세스 권한을 부여하려면 Infra Manager를 호출하는 데 사용하는 서비스 계정에 필요한 Infra Manager IAM 역할을 할당합니다. 서비스 계정에 권한을 부여하는 방법에 관한 자세한 내용은 서비스 계정에 대한 액세스 관리를 참고하세요.

Infra Manager 배포, 버전, IAM 정책을 보려면 서비스 계정이 필요하지 않습니다. Infra Manager를 보려면 사용자, 그룹 또는 서비스 계정에 액세스 권한을 부여하세요.

Terraform 구성에 정의된 Google Cloud 리소스를 배포하거나 보려면 이러한 리소스와 관련된 서비스 계정 권한을 부여해야 합니다. 이 권한은 이 페이지에 나열된 인프라 관리자 권한에 추가로 적용됩니다. 모든 역할과 역할에 포함된 권한의 목록은 Identity and Access Management 기본 및 사전 정의된 역할 참조를 참고하세요.

사전 정의된 인프라 관리자 역할

IAM은 특정 Google Cloud 리소스에 대한 액세스 권한을 부여하고 다른 리소스에 대한 승인되지 않은 액세스를 방지하는 사전 정의된 역할을 제공합니다.

다음 표에는 Infra Manager IAM 역할과 여기에 포함된 권한이 나와 있습니다.

역할 설명 권한
인프라 관리자 관리자 (roles/config.admin) 사용자의 경우 Infra Manager 리소스에 대한 전체 관리 권한 config.deployments.create
config.deployments.delete
config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deployments.setIamPolicy
config.deployments.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager 서비스 에이전트 (roles/config.agent) 배포, 버전, 로깅, Terraform 상태 파일을 비롯하여 Infra Manager를 사용할 수 있는 서비스 계정에 대한 액세스 권한을 제공합니다. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
Infra Manager 서비스 계정 (roles/cloudconfig.serviceAgent) Infra Manager API를 사용 설정하면 Infra Manager 서비스 계정이 프로젝트에 자동으로 생성되고 프로젝트의 리소스에 대해 이 역할이 부여됩니다. 인프라 관리자 서비스 계정은 배포 및 버전을 만들거나, 관리하거나, 삭제할 때 작업을 수행하는 데 필요한 경우에만 이 역할을 사용합니다. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Infra Manager 뷰어 (roles/config.viewer) 배포, 버전, IAM 정책을 읽습니다. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.listt
resourcemanager.projects.get
resourcemanager.projects.list

Infra Manager 사전 정의된 역할 외에도 기본 뷰어 및 소유자 역할에는 Infra Manager와 관련된 권한도 포함됩니다. 하지만 가능한 한 최소 권한의 보안 원칙에 맞게 사전 정의된 역할을 부여하는 것이 좋습니다.

다음 표에는 기본 역할과 여기에 포함된 Infra Manager IAM 역할이 나와 있습니다.

역할 포함된 역할
뷰어 roles/config.viewer
소유자 roles/config.admin

권한

호출자가 각 메서드를 호출하는 데 필요한 권한은 REST API 참조에 나와 있습니다.

다음 단계