IAM으로 액세스 제어

이 페이지에서는 Access Context Manager를 구성하는 데 필요한 Identity and Access Management(IAM) 역할을 설명합니다.

필요한 역할

다음 표에는 액세스 정책을 만들고 나열하는 데 필요한 권한과 역할이 나와 있습니다.

조직 수준에서 권한이 있는 경우에만 범위가 지정된 정책을 생성, 나열 또는 위임할 수 있습니다. 범위가 지정된 정책을 만든 후에는 범위가 지정된 정책에 IAM binding을 추가하여 정책을 관리할 수 있는 권한을 부여할 수 있습니다.

조직 수준에서 부여된 권한은 조직 수준 정책과 모든 범위가 지정된 정책을 포함한 모든 액세스 정책에 적용됩니다.

다음과 같은 선별된 IAM 역할은 gcloud 명령줄 도구를 사용하여 범위가 지정된 정책에서 액세스 수준을 보거나 구성하는 데 또는 위임된 관리자에게 부여하는데 필요한 권한을 제공합니다.

• Access Context Manager 관리자: roles/accesscontextmanager.policyAdmin
• Access Context Manager 편집자: roles/accesscontextmanager.policyEditor
• Access Context Manager 리더: roles/accesscontextmanager.policyReader

또한 사용자가 Google Cloud 콘솔을 사용하여 Access Context Manager를 관리할 수 있게 하려면 Resource Manager 조직 뷰어(roles/resourcemanager.organizationViewer) 역할이 필요합니다.

이러한 역할 중 하나를 부여하려면 Google Cloud 콘솔을 사용하거나 gcloud 명령줄 도구를 사용합니다.

읽기-쓰기 액세스를 허용하는 관리자

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyAdmin"

읽기-쓰기 액세스를 허용하는 편집자

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyEditor"

읽기 전용 액세스를 허용하는 리더

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/accesscontextmanager.policyReader"

조직 뷰어를 사용하면 Google Cloud 콘솔을 통해 VPC 서비스 제어에 액세스할 수 있습니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/resourcemanager.organizationViewer"

다음 단계

• Access Context Manager 개요
• 액세스 정책 만들기