IAM으로 액세스 제어

기본적으로 모든 Google Cloud 프로젝트에는 원래 프로젝트 생성자인 단일 사용자가 존재합니다. 사용자가 프로젝트 구성원으로 추가되거나 특정 리소스에 바인딩될 때까지 다른 사용자는 프로젝트에 액세스할 수 없으므로 Dataplex Universal Catalog 리소스에 액세스할 수 없습니다. 이 페이지에서는 프로젝트에 새 사용자를 추가하는 다양한 방법과 Dataplex Universal Catalog 리소스에 대한 액세스 제어를 설정하는 방법을 설명합니다.

IAM 개요

Google Cloud 는 사용자가 특정Google Cloud 리소스에 대한 세부적인 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있는 Identity and Access Management(IAM)를 제공합니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.

또한 IAM을 사용하면 IAM 정책을 설정하여 누구(ID)에게 어떤 리소스에 대한 무슨(역할) 권한을 부여할지 제어할 수 있습니다. IAM 정책은 프로젝트 구성원에게 특정 역할을 부여하고 ID 관련 권한을 제공합니다. 예를 들어 프로젝트와 같은 특정 리소스에 대해 roles/dataplex.admin 역할을 Google 계정에 할당하면 해당 계정이 프로젝트에 있는 Dataplex Universal Catalog 리소스는 제어할 수 있어도 다른 리소스는 관리할 수 없습니다. 또한 IAM을 사용하여 프로젝트 팀 구성원에게 부여된 기본 역할을 관리할 수 있습니다.

사용자 액세스 제어 옵션

Dataplex Universal Catalog 리소스를 만들고 관리할 수 있는 권한을 사용자에게 부여하려면 사용자를 프로젝트 또는 특정 리소스에 팀 구성원으로 추가하고 IAM 역할을 사용하여 권한을 부여합니다.

팀 구성원은 유효한 Google 계정이 있는 개별 사용자, Google 그룹, 서비스 계정 또는 Google Workspace 도메인일 수 있습니다. 팀 구성원을 프로젝트나 리소스에 추가할 때 구성원에게 부여할 역할을 지정합니다. IAM은 세 가지 유형의 역할, 즉 사전 정의된 역할, 기본 역할, 커스텀 역할을 제공합니다.

각 Dataplex Universal Catalog 역할의 기능 및 특정 역할에 따라 권한이 부여되는 API 메서드에 관한 자세한 내용은 Dataplex Universal Catalog IAM 역할을 참조하세요.

서비스 계정 및 그룹과 같은 다른 구성원 유형의 경우 정책 binding 참조를 확인하세요.

서비스 계정

Dataplex Universal Catalog는 레이크 내에서 관리되는 리소스에 액세스하는 데 필요한 권한이 부여된 서비스 계정을 사용합니다. 이 서비스 계정에는 레이크 인스턴스가 포함된 프로젝트의 권한이 자동으로 부여됩니다. 레이크 내에서 추가하고 관리하려는 다른 프로젝트 및 리소스에 대해 권한을 명시적으로 부여해야 합니다.

Dataplex Universal Catalog 서비스 계정의 형식은 다음과 같습니다.

service-CUSTOMER_PROJECT_NUMBER@gcp-sa-dataplex.iam.gserviceaccount.com

CUSTOMER_PROJECT_NUMBER는 Dataplex Universal Catalog API를 사용 설정한 프로젝트입니다.

레이크 또는 데이터 영역에 추가하는 기본 애셋에 대한 액세스 권한을 Dataplex Universal Catalog 서비스 에이전트(roles/dataplex.serviceAgent)에 부여해야 합니다.

리소스의 IAM 정책

Dataplex Universal Catalog는 Cloud Storage 버킷, BigQuery 데이터 세트와 같은 기본 스토리지 리소스 위에 가상 계층 구조를 추가합니다. Dataplex Universal Catalog는 레이크에 할당된 IAM 정책을 데이터 영역 애셋으로, 최종적으로 이러한 애셋이 가리키는 리소스로 전파합니다. 정책은 기본 스토리지 리소스(Cloud Storage 버킷 및 BigQuery 데이터 세트)에 이미 존재하는 정책에 추가됩니다.

IAM 정책을 사용하면 프로젝트 수준에서 역할을 관리하는 대신 이러한 리소스에 대한 IAM 역할을 관리할 수 있습니다. 이렇게 하면 공동작업자에게 작업에 필요한 특정 리소스에 대해서만 액세스 권한을 부여하는 최소 권한의 원칙을 유연하게 적용할 수 있습니다.

리소스는 상위 리소스의 정책도 상속합니다. 프로젝트 수준에서 정책을 설정하면 모든 하위 리소스로 정책이 상속됩니다. 리소스에 실제로 적용되는 정책은 해당 리소스에 설정된 정책과 계층 구조의 상위 리소스에서 상속된 정책의 합집합입니다. 자세한 내용은 IAM 정책 계층 구조를 참조하세요.

Google Cloud 콘솔, IAM API 또는 Google Cloud CLI를 사용하여 IAM 정책을 가져오고 설정할 수 있습니다.

• Google Cloud 콘솔의 경우 Google Cloud 콘솔을 사용하여 액세스 제어를 참조하세요.
• API는 API를 사용하여 액세스 제어를 참조하세요.
• Google Cloud CLI의 경우 Google Cloud CLI를 사용하여 액세스 제어를 참조하세요.

다음 단계

• IAM 역할 자세히 알아보기
• IAM 권한에 대해 자세히 알아보세요.
• Dataplex Universal Catalog 레이크 보안 자세히 알아보기