리소스 기반 액세스 구성

이 페이지에서는 허용 정책에서 조건부 역할 결합을 사용하여 특정 리소스에 대해 액세스를 관리하는 방법을 설명합니다. 조건 표현식에서 리소스 속성을 사용하면 주 구성원이 권한을 사용하여 리소스 이름, 유형, Google Cloud 서비스를 기준으로 리소스에 액세스할 수 있는지 여부를 제어할 수 있습니다.

시작하기 전에

IAM 조건부 역할 결합의 기본 사항을 이해하기 위해서는 Identity and Access Management(IAM) 조건 개요를 참조하세요.
조건 표현식에서 사용할 수 있는 리소스 속성을 검토하세요.
리소스 이름 속성은 다음 Google Cloud 서비스에 대한 액세스를 제어할 수 있습니다.
- Apigee
- Application Integration
- Apigee API 허브
- 백업 및 DR 서비스
- BigQuery
- BigQuery Reservation API
- Bigtable
- Binary Authorization
- Cloud Deploy
- Cloud Key Management Service
- Cloud Logging
- Cloud SQL
- Cloud Storage
- Compute Engine
- Dataform
- Google Kubernetes Engine
- Firestore
- Integration Connectors
- Apache Kafka용 Google Cloud 관리형 서비스
- Pub/Sub 라이트
- Secret Manager
- Spanner

필요한 역할

조건부 역할 바인딩을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

프로젝트에 대한 액세스를 관리하려는 경우: 프로젝트에 대한 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)
폴더에 대한 액세스를 관리하려는 경우: 폴더에 대한 폴더 관리자(roles/resourcemanager.folderAdmin)
프로젝트, 폴더, 조직에 대한 액세스를 관리하려는 경우: 조직에 대한 조직 관리자(roles/resourcemanager.organizationAdmin)
거의 모든 Google Cloud 리소스에 대한 액세스를 관리하려는 경우: 액세스를 관리하려는 리소스가 있는 프로젝트, 폴더 또는 조직에 대한 보안 관리자(roles/iam.securityAdmin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

사전 정의된 역할에는 조건부 역할 바인딩을 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

조건부 역할 바인딩을 관리하려면 다음 권한이 필요합니다.

프로젝트에 대한 액세스 권한 관리:
- 프로젝트에 대한 resourcemanager.projects.getIamPolicy 권한
- 프로젝트에 대한 resourcemanager.projects.setIamPolicy 권한
폴더에 대한 액세스 관리:
- 폴더에 대한 resourcemanager.folders.getIamPolicy 권한
- 폴더에 대한 resourcemanager.folders.setIamPolicy 권한
조직에 대한 액세스 권한 관리:
- 조직에 대한 resourcemanager.organizations.getIamPolicy 권한
- 조직에 대한 resourcemanager.organizations.setIamPolicy 권한

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

리소스 이름 프리픽스를 기반으로 리소스 그룹에 액세스 권한 부여

조건부 역할 바인딩을 사용하면 이름이 특정 문자열로 시작하는 Compute Engine 가상 머신(VM) 인스턴스와 같이 리소스 이름이 프리픽스와 일치하는 리소스 주 구성원에게 액세스 권한을 부여할 수 있습니다. 리소스 이름 프리픽스는 일반적으로 특정 목적을 위한 리소스 또는 특정 속성이 있는 리소스를 그룹화하는 데 사용됩니다.

예를 들어 민감한 의료 데이터를 사용하는 특정 VM 인스턴스에서 워크로드를 실행한다고 가정해보세요. 민감하지 않은 다른 워크로드는 동일한 프로젝트에서 실행되어야 하며 개발자가 민감한 정보를 사용하는 VM 인스턴스에 제한적으로 액세스하도록 설정하려고 합니다. 이 목표를 달성하기 위해 민감한 데이터를 사용하는 VM 인스턴스에는 sensitiveAccess 프리픽스를 사용하여 이름을 지정하고 다른 VM 인스턴스에는 devAccess 프리픽스를 사용합니다. 그런 후 조건부 역할 바인딩을 사용하여 개발자가 일반적인 devAccess VM 인스턴스는 계속 사용할 수 있지만 sensitiveAccess VM 인스턴스에는 액세스 권한을 부여하지 않도록 합니다.

resource.name 조건 속성만 사용하여 액세스를 관리할 수도 있지만 resource.type 속성과 resource.service 속성도 사용하는 것이 일반적입니다. 이러한 추가 속성을 사용하면 유사한 이름의 다른 리소스 유형에 대한 액세스에 조건이 영향을 미칠 가능성이 낮아집니다. 이 섹션의 예시에서는 resource.name 속성과 resource.type 속성을 모두 사용하여 액세스를 제어합니다.

참고: 소유자(roles/owner), 편집자(roles/editor), 뷰어(roles/viewer)를 비롯한 레거시 기본 역할을 부여할 때는 조건을 사용할 수 없습니다. 또한 모든 사용자(allUsers) 또는 모든 인증된 사용자(allAuthenticatedUsers)에게 역할을 부여할 때도 조건을 사용할 수 없습니다.

프로젝트의 Compute Engine 디스크 및 인스턴스에 이름 프리픽스를 기반으로 액세스 권한을 부여하려면 다음 안내를 따르세요.

콘솔

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM 페이지로 이동
주 구성원 목록에서 원하는 주 구성원을 찾고 버튼을 클릭합니다.
권한 수정 패널에서 조건을 구성할 역할을 찾습니다. 그런 다음 IAM 조건(선택사항)에서 IAM 조건 추가를 클릭합니다.
조건 수정 패널에서 조건의 제목 및 설명(선택사항)을 입력합니다.
조건 작성 도구 또는 조건 편집기를 사용하여 조건 표현식을 추가할 수 있습니다. 조건 빌더에서는 표현식에 대해 원하는 조건 유형, 연산자, 기타 적용 가능한 세부정보를 선택할 수 있는 대화형 인터페이스를 제공합니다. 조건 편집기에서는 CEL 문법을 사용하여 표현식을 수동으로 입력하는 텍스트 기반 인터페이스를 제공합니다.

조건 작성 도구:
1. 조건 작성 도구에서 기존 조건 필드를 삭제합니다. 조건 작성 도구에서 유일한 필터는 추가 버튼입니다.
2. 리소스가 지정된 프리픽스로 시작하는 디스크인 경우 true로 평가되는 그룹화된 조건 표현식을 만듭니다.
  1. 추가 드롭다운 메뉴를 클릭한 후 그룹화된 조건을 클릭합니다.
  2. 조건 유형 드롭다운에서 리소스 > 유형을 선택합니다.
  3. 연산자 드롭다운에서 일치를 선택합니다.
  4. 리소스 유형 드롭다운에서 compute.googleapis.com/Disk를 선택합니다.
  5. 방금 입력한 조건 바로 아래 첫 번째 추가 버튼을 클릭하여 표현식에 다른 절을 추가합니다.
  6. 조건 유형 드롭다운에서 리소스 > 이름을 선택합니다.
  7. 연산자 드롭다운에서 다음으로 시작을 선택합니다.
  8. 값 필드에 원하는 프리픽스를 포함하여 적합한 형식으로 리소스 이름을 입력합니다. 예를 들어 projects/PROJECT_ID/region/ZONE_ID/disks/PREFIX를 사용하여 PROJECT_ID 프로젝트 및 이름이 PREFIX로 시작하는 ZONE_ID 영역의 디스크를 식별합니다.
  9. 각 조건 유형의 왼쪽에서 And를 클릭하여 두 절이 모두 true인지 확인합니다.
3. 리소스가 지정된 프리픽스로 시작하는 인스턴스인 경우 true로 평가되는 그룹화된 조건 표현식을 만듭니다.
  1. 기존 조건 그룹 외부에서 추가 버튼을 클릭한 후 그룹화된 조건을 클릭합니다.
  2. 조건 유형 드롭다운에서 리소스 > 유형을 선택합니다.
  3. 연산자 드롭다운에서 일치를 선택합니다.
  4. 리소스 유형 드롭다운에서 compute.googleapis.com/Instance를 선택합니다.
  5. 동일한 조건 그룹에서 추가를 클릭합니다.
  6. 조건 유형 드롭다운에서 리소스 > 이름을 선택합니다.
  7. 연산자 드롭다운에서 다음으로 시작을 선택합니다.
  8. 값 필드에 원하는 프리픽스를 사용하여 적합한 형식으로 리소스 이름을 입력합니다. 예를 들어 projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX를 사용하여 PROJECT_ID 프로젝트 및 이름이 PREFIX로 시작하는 ZONE_ID 영역의 인스턴스를 식별합니다.
  9. 그룹의 조건을 연결하는 논리 연산자가 And로 설정되었는지 확인합니다.
4. 리소스가 디스크 또는 인스턴스가 아니면 true로 평가되는 그룹화된 조건 표현식을 만듭니다.
  1. 기존 조건 그룹 외부에서 추가 버튼을 클릭한 후 그룹화된 조건을 클릭합니다.
  2. 조건 유형 드롭다운에서 리소스 > 유형을 선택합니다.
  3. 연산자 드롭다운에서 다름을 선택합니다.
  4. 리소스 유형 드롭다운에서 compute.googleapis.com/Disk를 선택합니다.
  5. 동일한 조건 그룹에서 추가를 클릭합니다.
  6. 조건 유형 드롭다운에서 리소스 > 유형을 선택합니다.
  7. 연산자 드롭다운에서 다름을 선택합니다.
  8. 리소스 유형 드롭다운에서 compute.googleapis.com/Instance를 선택합니다.
  9. 그룹의 조건을 연결하는 논리 연산자가 And로 설정되었는지 확인합니다.
5. 조건 표현식의 모든 그룹을 연결하는 논리 연산자가 Or인지 확인합니다.
  
  작업이 완료되면 조건 작성 도구가 다음과 유사하게 표시됩니다.
6. 저장을 클릭하여 조건을 적용합니다.
7. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 허용 정책을 업데이트합니다.
조건 편집기:
1. 조건 편집기 탭을 클릭하고 다음 표현식을 입력합니다.
```
(resource.type == "compute.googleapis.com/Disk" &&
resource.name.startsWith("projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX")) ||
(resource.type == "compute.googleapis.com/Instance" &&
resource.name.startsWith("projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX")) ||
(resource.type != "compute.googleapis.com/Disk" &&
resource.type != "compute.googleapis.com/Instance")
```
2. 표현식을 입력한 후 오른쪽 상단 텍스트 상자 위에 있는 린터 실행을 클릭하여 CEL 문법을 린트할 수도 있습니다.
3. 저장을 클릭하여 조건을 적용합니다.
4. 조건 수정 패널이 닫히면 권한 수정 패널에서 저장을 다시 클릭하여 허용 정책을 업데이트합니다.

gcloud

허용 정책은 읽기-수정-쓰기 패턴을 통해 설정됩니다.

gcloud projects get-iam-policy 명령어를 실행하여 프로젝트의 현재 허용 정책을 가져옵니다. 다음 예시에서는 허용 정책의 JSON 버전이 디스크의 경로로 다운로드됩니다.

명령어:

gcloud projects get-iam-policy project-id --format=json > filepath

허용 정책의 JSON 형식이 다운로드됩니다.

{
  "bindings": [
    {
      "members": [
        "user:my-user@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "group:my-group@example.com"
      ],
      "role": "roles/compute.instanceAdmin"
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 1
}

리소스 이름 프리픽스 조건으로 허용 정책을 구성하려면 다음 강조표시된 조건 표현식을 추가합니다. gcloud CLI에서 버전을 자동으로 업데이트합니다.

{
  "bindings": [
    {
      "members": [
        "user:my-user@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "group:my-group@example.com"
      ],
      "role": "roles/compute.instanceAdmin",
      "condition": {
          "title": "PREFIX_only",
          "description": "Only gives access to VMs with the PREFIX prefix",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

다음으로 gcloud projects set-iam-policy 명령어를 실행하여 새 허용 정책을 설정합니다.

gcloud projects set-iam-policy project-id filepath

새 조건부 역할 바인딩은 다음과 같은 방식으로 그룹에 권한을 부여합니다.

역할 바인딩의 구성원이 디스크 및 인스턴스 권한만 사용하여 해당 이름이 지정된 프리픽스로 시작하는 디스크 및 인스턴스에 액세스할 수 있습니다.
역할 바인딩의 구성원이 인스턴스 관리자 역할(roles/compute.instanceAdmin)의 다른 모든 권한을 사용하여 디스크 및 인스턴스 외의 모든 리소스에 액세스할 수 있습니다.

REST

읽기-수정-쓰기 패턴을 사용하여 특정 리소스에 대해 액세스를 허용합니다.

먼저 프로젝트의 허용 정책을 읽습니다.

Resource Manager API의 projects.getIamPolicy 메서드가 프로젝트의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다.
POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.

HTTP 메서드 및 URL:

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy

JSON 요청 본문:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content

API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:my-user@example.com
      ]
    },
    {
      "members": [
        "group:my-group@example.com"
      ],
      "role": "roles/compute.instanceAdmin"
    }
  ]
}

다음으로 특정 리소스에 대해 액세스를 허용하도록 정책을 수정합니다. version 필드를 3 값으로 변경합니다.

{
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:my-user@example.com"
      ]
    },
    {
      "role": "roles/compute.instanceAdmin",
      "members": [
        "group:my-group@example.com"
      ],
      "condition": {
          "title": "PREFIX_only",
          "description": "Only gives access to VMs with the PREFIX prefix",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
      }
    }
  ]
}

마지막으로 업데이트된 허용 정책을 작성합니다.

Resource Manager API의 projects.setIamPolicy 메서드는 요청의 허용 정책을 프로젝트의 새 허용 정책으로 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다.

HTTP 메서드 및 URL:

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy

JSON 요청 본문:

{
  "policy": {
    "version": 3,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/owner",
        "members": [
          "user:my-user@example.com"
        ]
      },
      {
        "role": "roles/compute.instanceAdmin",
        "members": [
          "group:my-group@example.com"
        ],
        "condition": {
          "title": "Dev_access_only",
          "description": "Only access to devAccess* VMs",
          "expression":
            "(resource.type == 'compute.googleapis.com/Disk' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
            (resource.type == 'compute.googleapis.com/Instance' &&
            resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX')) ||
            (resource.type != 'compute.googleapis.com/Instance' &&
            resource.type != 'compute.googleapis.com/Disk')"
        }
      }
    ]
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content

API 탐색기(브라우저)

응답에는 업데이트된 허용 정책이 포함됩니다.

리소스 이름에서 값 추출

이전 예시는 리소스 이름 또는 리소스 이름의 시작과 다른 값 간의 부울 비교를 보여줍니다. 그러나 값을 리소스 이름의 시작 부분이 아닌 특정 부분과 비교해야 하는 경우도 있습니다.

extract() 함수를 사용하고 추출 템플릿을 지정하여 리소스 이름의 관련 부분을 문자열로 추출할 수 있습니다. 필요하다면 추출된 문자열을 타임스탬프와 같은 다른 유형으로 변환할 수 있습니다. 리소스 이름에서 값을 추출한 다음 해당 값을 다른 값과 비교할 수 있습니다.

다음 예시에서는 extract() 함수를 사용하는 조건 표현식을 보여줍니다. extract() 함수에 대한 자세한 내용은 IAM 조건 속성 참조를 참조하세요.

예시: 지난 30일 동안의 주문 일치

주문 정보를 여러 Cloud Storage 버킷에 저장하고 각 버킷의 객체를 날짜별로 정리한다고 가정합니다. 일반적인 객체 이름은 다음 예시와 비슷할 수 있습니다.

projects/_/buckets/acme-orders-aaa/objects/data_lake/orders/order_date=2019-11-03/aef87g87ae0876

주 구성원이 지난 30일 동안의 모든 주문에 액세스할 수 있게 하려고 합니다. 다음 조건은 이러한 주문의 Cloud Storage 객체와 일치합니다. duration() 및 date() 함수를 사용하여 요청 시간에서 30일(2,592,000초)을 뺀 후 타임스탬프를 주문 날짜와 비교합니다.

resource.type == 'storage.googleapis.com/Object' &&
  request.time - duration('2592000s') < date(resource.name.extract('/order_date={date_str}/'))

date() 및 duration() 함수에 대한 자세한 내용은 날짜/시간 속성 참조를 참조하세요.

예시: 모든 위치에서 Compute Engine VM 일치

VM 위치에 관계없이 이름이 dev-로 시작하는 모든 Compute Engine VM의 주 구성원에게 프로젝트 수준 역할을 부여한다고 가정해 보겠습니다. 또한 주 구성원이 다른 모든 리소스 유형에서 해당 역할을 사용할 수 있게 하려고 합니다.

VM의 리소스 이름에서는 projects/PROJECT_ID/zones/ZONE_ID/instances/INSTANCE_ID과 유사한 형식을 사용합니다. 다음 조건은 dev- 문자열로 시작하는 인스턴스 이름과 VM 이외의 모든 리소스 유형을 사용하여 VM의 true를 평가합니다.

resource.type != 'compute.googleapis.com/Instance' ||
  resource.name.extract('/instances/{name}').startsWith('dev-')

중괄호 안의 텍스트는 비교를 위해 추출되는 리소스 이름의 일부를 식별합니다. 이 예시에서 추출 템플릿은 문자열 /instances/의 첫 번째 일치하는 항목 다음의 모든 문자를 추출합니다.

리소스 기반 조건의 중요한 사용 고려사항

리소스 기반 조건을 추가할 때는 조건이 주 구성원의 권한에 어떤 영향을 미치는지 고려해야 합니다.

커스텀 역할

커스텀 역할이 포함된 다음 예시를 참조합니다. 관리자가 VM 인스턴스 생성을 위한 액세스 권한을 부여하지만 이름 프리픽스가 같은 디스크를 사용하여 리소스 이름이 이름 프리픽스 staging으로 시작하는 프로젝트에서만 사용자가 VM 인스턴스를 만들 수 있는 커스텀 역할을 만들려고 합니다.

이 작업을 수행하려면 부여된 역할에 디스크 및 인스턴스 리소스 유형에 대한 권한을 의미하는 VM 인스턴스를 만들기 위한 필수 권한이 포함되는지 확인합니다. 그런 다음 조건 표현식에서 리소스 이름에 디스크와 인스턴스가 모두 있는지 확인합니다. 이 두 유형이 아니라면 역할에 다른 권한이 부여되지 않습니다.

다음 조건 표현식은 예기치 않은 동작을 초래합니다. Compute Engine VM에서 작동하는 권한이 차단됩니다.

resource.type == 'compute.googleapis.com/Disk' &&
 resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/staging')

다음 조건 표현식은 디스크와 인스턴스를 모두 포함하며 두 유형의 리소스 이름을 기반으로 액세스를 관리합니다.

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/staging')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/staging'))

다음 조건 표현식은 디스크와 인스턴스를 모두 포함하며 두 유형의 리소스 이름을 기반으로 액세스를 관리합니다. 다른 리소스 유형의 경우 조건 표현식은 리소스 이름에 관계없이 역할을 부여합니다.

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/staging')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/staging')) ||
 (resource.type != 'compute.googleapis.com/Disk' &&
  resource.type != 'compute.googleapis.com/Instance')

상위 요소 전용 권한

Google Cloud의 리소스 계층 구조에서 하위 리소스에 영향을 미치는 역할의 일부 권한은 상위 수준에서만 적용됩니다. 예를 들어 한 조직의 프로젝트를 나열하려면 사용자에게 프로젝트 자체가 아니라 나열하려는 프로젝트가 포함된 조직에 대한 resourcemanager.projects.list 권한을 부여해야 합니다. 이러한 종류의 권한을 상위 요소 전용 권한이라 하며 list 작업에만 적용됩니다.

조건을 사용하는 경우 *.*.list 권한에 대한 액세스 권한을 올바르게 부여하려면 조건 표현식은 나열할 대상 리소스의 상위 리소스 유형에 따라 resource.service 및 resource.type 속성을 설정해야 합니다.

다음 예시를 고려하세요. 이전 섹션의 Compute Engine 예시를 사용하면, 다음 표현식은 권한을 검사하는 리소스의 resource.type 속성 값이 cloudresourcemanager.googleapis.com/Project이기 때문에 compute.disks.list 및 compute.instances.list 권한에 액세스하지 못하게 합니다.

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX'))

일반적으로 이 list 권한은 리소스에 대한 일반 작업의 다른 권한과 함께 부여됩니다. 이 경우 부여 범위를 늘리려면 cloudresourcemanager.googleapis.com/Project 유형의 범위만 확장하거나 인스턴스 또는 디스크 유형이 아닌 다른 모든 권한으로 범위를 확장할 수 있습니다.

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX')) ||
 resource.type == 'cloudresourcemanager.googleapis.com/Project'

또는

(resource.type == 'compute.googleapis.com/Disk' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/disks/PREFIX')) ||
 (resource.type == 'compute.googleapis.com/Instance' &&
  resource.name.startsWith('projects/PROJECT_ID/zones/ZONE_ID/instances/PREFIX')) ||
 (resource.type != 'compute.googleapis.com/Disk' &&
  resource.type != 'compute.googleapis.com/Instance')

리소스 기반 액세스 구성 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

시작하기 전에

필요한 역할

필수 권한

리소스 이름 프리픽스를 기반으로 리소스 그룹에 액세스 권한 부여

콘솔

gcloud

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

리소스 이름에서 값 추출

예시: 지난 30일 동안의 주문 일치

예시: 모든 위치에서 Compute Engine VM 일치

리소스 기반 조건의 중요한 사용 고려사항

커스텀 역할

상위 요소 전용 권한

리소스 기반 액세스 구성