프로젝트, 폴더, 조직에 대한 액세스 관리

이 페이지에서는 프로젝트, 폴더, 조직에 대해 액세스를 부여, 변경, 취소하는 방법을 설명합니다. 다른 리소스에 대한 액세스 관리 방법을 알아보려면 다음 가이드를 참조하세요.

Identity and Access Management(IAM)에서 액세스는 IAM 정책으로도 알려진 허용 정책을 통해 부여됩니다. 각 허용 정책은Google Cloud 리소스에 연결됩니다. 허용 정책마다 사용자 또는 서비스 계정과 같은 주 구성원 하나 이상을 IAM 역할과 연결하는 역할 바인딩 컬렉션이 포함되어 있습니다. 이러한 역할 바인딩은 허용 정책이 연결된 리소스와 리소스의 모든 하위 요소 모두에서 지정된 역할을 주 구성원에 부여합니다. 허용 정책에 대한 자세한 내용은 허용 정책 이해를 참조하세요.

Google Cloud 콘솔, Google Cloud CLI, REST API 또는 Resource Manager 클라이언트 라이브러리를 사용하여 프로젝트, 폴더, 조직에 대한 액세스를 관리할 수 있습니다.

시작하기 전에

Enable the Resource Manager API.
Enable the API
인증을 설정합니다.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C#

로컬 개발 환경에서 이 페이지의 .NET 샘플을 사용하려면 gcloud CLI를 설치하고 초기화한 후 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정합니다.
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
  
  If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경의 ADC 설정을 참조하세요.
Java

로컬 개발 환경에서 이 페이지의 Java 샘플을 사용하려면 gcloud CLI를 설치하고 초기화한 후 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정합니다.
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
  
  If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경의 ADC 설정을 참조하세요.
Python

로컬 개발 환경에서 이 페이지의 Python 샘플을 사용하려면 gcloud CLI를 설치하고 초기화한 후 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정합니다.
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
  
  If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경의 ADC 설정을 참조하세요.
REST

로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.
자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참조하세요.

필요한 역할

프로젝트, 폴더 또는 조직을 만들면 해당 리소스에 대한 액세스 권한을 관리할 수 있는 역할이 자동으로 부여됩니다. 자세한 내용은 기본 정책을 참조하세요.

프로젝트, 폴더 또는 조직을 만들지 않았으면 해당 리소스에 대한 액세스를 관리하는 데 필요한 역할이 있는지 확인합니다.

프로젝트, 폴더 또는 조직에 대한 액세스 권한을 관리하는 데 필요한 권한을 얻으려면 관리자에게 (프로젝트, 폴더 또는 조직)에 대한 액세스 권한을 관리할 리소스에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

프로젝트에 대한 액세스 권한을 관리하려는 경우: 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)
폴더에 대한 액세스 권한을 관리하려는 경우: 폴더 관리자(roles/resourcemanager.folderAdmin)
프로젝트, 폴더, 조직에 대한 액세스 권한을 관리하려는 경우: 조직 관리자(roles/resourcemanager.organizationAdmin)
거의 모든 Google Cloud 리소스에 대한 액세스 권한을 관리하려는 경우: 보안 관리자(roles/iam.securityAdmin)

이러한 사전 정의된 역할에는 프로젝트, 폴더 또는 조직에 대한 액세스 권한을 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

프로젝트, 폴더 또는 조직에 대한 액세스 권한을 관리하려면 다음 권한이 필요합니다.

프로젝트에 대한 액세스 권한 관리:
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
폴더에 대한 액세스 관리:
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.setIamPolicy
조직에 대한 액세스 권한 관리:
- resourcemanager.organizations.getIamPolicy
- resourcemanager.organizations.setIamPolicy

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

현재 액세스 보기

Google Cloud 콘솔, gcloud CLI, REST API 또는 Resource Manager 클라이언트 라이브러리를 사용하여 프로젝트, 폴더 또는 조직에 대한 액세스 권한이 있는 사용자를 볼 수 있습니다.

콘솔

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

IAM으로 이동
프로젝트, 폴더, 조직을 선택합니다.

Google Cloud 콘솔에 프로젝트, 폴더 또는 조직에 대해 역할이 부여된 모든 주 구성원이 나열됩니다. 이 목록에는 상위 리소스로부터 리소스에 대한 역할을 상속한 주 구성원이 포함됩니다. 정책 상속에 대한 자세한 내용은 정책 상속 및 리소스 계층을 참조하세요.
선택사항: 서비스 에이전트에 대한 역할 부여를 보려면 Google제공 역할 부여 포함 체크박스를 선택합니다.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
프로젝트, 폴더, 조직에 액세스할 수 있는 사용자를 보려면 리소스에 대해 허용 정책을 가져옵니다. 허용 정책을 해석하는 방법을 알아보려면 허용 정책 이해를 참조하세요.

참조: 리소스의 허용 정책에는 정책 상속을 통해 부여된 역할이 표시되지 않습니다. 상속된 역할을 보려면 Google Cloud 콘솔을 사용하거나 유효한 IAM 정책 보기의 안내를 따르세요.

리소스의 허용 정책을 가져오려면 리소스에 대해 get-iam-policy 명령어를 실행합니다.
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
다음 값을 제공합니다.
- RESOURCE_TYPE: 액세스를 보려는 리소스의 유형. projects, resource-manager folders, organizations 값 중 하나를 사용합니다.
- RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
- FORMAT: 정책에 사용하려는 형식. json 또는 yaml을 사용합니다.
- PATH: 정책에 대한 새 출력 파일의 경로
예를 들어 다음 명령어는 my-project 프로젝트의 정책을 가져오고 이를 JSON 형식으로 홈 디렉터리에 저장합니다.
```
gcloud projects get-iam-policy my-project --format=json > ~/policy.json
```

C#

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

프로젝트, 폴더, 조직에 액세스할 수 있는 사용자를 보려면 리소스에 대해 허용 정책을 가져옵니다. 허용 정책을 해석하는 방법을 알아보려면 허용 정책 이해를 참조하세요.

다음 예시에서는 프로젝트에 대한 허용 정책을 가져오는 방법을 보여줍니다. 폴더 또는 조직에 대한 허용 정책을 가져오는 방법은 프로그래밍 언어의 Resource Manager 클라이언트 라이브러리 문서를 참조하세요.


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.GetIamPolicyRequest;
import com.google.iam.v1.Policy;
import java.io.IOException;

public class GetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";

    getProjectPolicy(projectId);
  }

  // Gets a project's policy.
  public static Policy getProjectPolicy(String projectId) throws IOException {
    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .build();
      return projectsClient.getIamPolicy(request);
    }
  }
}

Python

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def get_project_policy(project_id: str) -> policy_pb2.Policy:
    """Get policy for project.

    project_id: ID or number of the Google Cloud project you want to use.
    """

    client = resourcemanager_v3.ProjectsClient()
    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    policy = client.get_iam_policy(request)
    print(f"Policy retrieved: {policy}")

    return policy

REST

Resource Manager API의 getIamPolicy 메서드는 프로젝트, 폴더, 조직의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

API_VERSION: 사용할 API 버전입니다. 프로젝트 및 조직에 v1을 사용합니다. 폴더에는 v2를 사용합니다.
RESOURCE_TYPE: 정책을 관리할 리소스 유형. projects, folders, organizations 값을 사용합니다.
RESOURCE_ID: Google Cloud프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.

HTTP 메서드 및 URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

JSON 요청 본문:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 리소스의 허용 정책이 포함됩니다. 예를 들면 다음과 같습니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:my-user@example.com"
      ]
    }
  ]
}

단일 역할 부여 또는 취소

리소스의 허용 정책을 직접 수정하지 않고도 Google Cloud 콘솔 및 gcloud CLI를 사용하여 단일 주 구성원에 대한 단일 역할을 빠르게 부여하거나 취소할 수 있습니다. 일반적인 주 구성원 유형에는 Google 계정, 서비스 계정, Google 그룹스, 도메인이 포함됩니다.모든 주 구성원 유형 목록은 주 구성원 유형을 참조하세요.

일반적으로 정책 변경사항은 2분 이내에 적용됩니다. 하지만 경우에 따라 변경사항이 시스템 전체에 전파되려면 7분 이상 걸릴 수 있습니다.

가장 적절한 사전 정의된 역할을 찾는 데 도움이 필요하면 사전 정의된 역할 선택을 참조하세요.

단일 역할 부여

주 구성원에 단일 역할을 부여하려면 다음을 수행합니다.

콘솔

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

IAM으로 이동
프로젝트, 폴더, 조직을 선택합니다.
역할을 부여할 주 구성원을 선택합니다.
- 리소스에 대해 이미 다른 역할이 있는 주 구성원에게 역할을 부여하려면 주 구성원이 포함된 행을 찾아 해당 행에서 주 구성원 수정을 클릭하고 다른 역할 추가를 클릭합니다.
  
  서비스 에이전트에 역할을 부여하려면 Google제공 역할 부여 포함 체크박스를 선택하여 이메일 주소를 확인합니다.
  
  참고: 리소스에 대해 액세스를 관리할 때 상속된 역할은 수정할 수 없습니다. 상속된 역할을 수정하려면 해당 역할이 부여된 리소스로 이동합니다.
- 리소스에 대해 기존 역할이 없는 주 구성원에게 역할을 부여하려면 액세스 권한 부여를 클릭한 후 주 구성원의 식별자를 입력합니다(예: my-user@example.com).
드롭다운 목록에서 부여할 역할을 선택합니다. 보안 권장사항에 따라 주 구성원에게 필요한 권한만 포함된 역할을 선택합니다.
선택사항: 역할에 조건을 추가합니다.
저장을 클릭합니다. 주 구성원에게 리소스에 대해 역할이 부여됩니다.

2개 이상의 프로젝트, 폴더, 조직에서 주 구성원에게 역할을 부여하는 방법은 다음과 같습니다.

Google Cloud 콘솔에서 리소스 관리 페이지로 이동합니다.

리소스 관리로 이동
권한을 부여할 대상 리소스를 모두 선택합니다.
정보 패널이 표시되지 않았으면 정보 패널 표시를 클릭합니다. 그런 후 권한을 클릭합니다.
역할을 부여할 주 구성원을 선택합니다.
- 이미 다른 역할이 있는 주 구성원에게 역할을 부여하려면 주 구성원이 포함된 행을 찾아 해당 행에서 주 구성원 수정을 클릭하고 다른 역할 추가를 클릭합니다.
- 다른 역할이 아직 없는 주 구성원에게 역할을 부여하려면 주 구성원 추가를 클릭한 후 주 구성원의 식별자를 입력합니다(예: my-user@example.com).
드롭다운 목록에서 부여할 역할을 선택합니다.
선택사항: 역할에 조건을 추가합니다.
저장을 클릭합니다. 선택한 각 리소스에서 주 구성원에게 선택한 역할이 부여됩니다.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
add-iam-policy-binding 명령어를 사용하면 주 구성원에게 역할을 빠르게 부여할 수 있습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- RESOURCE_TYPE: 액세스를 관리할 리소스 유형입니다. projects, resource-manager folders, organizations를 사용합니다.
- RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
- PRINCIPAL: 주 구성원이나 구성원의 식별자로, 대개 PRINCIPAL_TYPE:ID 형식을 따릅니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL에 지정할 수 있는 전체 값 목록은 주 구성원 식별자를 참조하세요.
  
  주 구성원 유형 user의 경우 식별자의 도메인 이름은 Google Workspace 도메인이나 Cloud ID 도메인이어야 합니다. Cloud ID 도메인을 설정하는 방법은 Cloud ID 개요를 참조하세요.
- ROLE_NAME: 취소할 역할의 이름입니다. 다음 형식 중 하나를 사용하세요.
  - 사전 정의된 역할: roles/SERVICE.IDENTIFIER
  - 프로젝트 수준 커스텀 역할: projects/PROJECT_ID/roles/IDENTIFIER
  - 조직 수준 커스텀 역할: organizations/ORG_ID/roles/IDENTIFIER
  사전 정의된 역할의 목록은 역할 이해를 참조하세요.
- CONDITION: 역할 바인딩에 추가할 조건입니다. 조건을 추가하지 않으려면 None 값을 사용하세요. 조건에 대한 자세한 내용은 조건 개요를 참조하세요.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION
```
Windows(PowerShell)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION
```
Windows(cmd.exe)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION
```
응답에는 업데이트된 IAM 정책이 포함됩니다.

단일 역할 취소

주 구성원의 단일 역할을 취소하려면 다음을 수행합니다.

콘솔

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

IAM으로 이동
프로젝트, 폴더, 조직을 선택합니다.
액세스 권한을 취소하려는 주 구성원이 포함된 행을 찾으세요. 그런 다음 이 행에서 주 구성원 수정을 클릭합니다.

참고: 리소스에 대해 액세스를 관리할 때 상속된 역할은 수정할 수 없습니다. 상속된 역할을 수정하려면 해당 역할이 부여된 리소스로 이동합니다.
취소하려는 역할의 삭제 버튼을 클릭한 다음 저장을 클릭합니다.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
사용자에게서 역할을 빠르게 취소하려면 remove-iam-policy-binding 명령어를 실행합니다.
```
gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID 

    --member=PRINCIPAL --role=ROLE_NAME
```
다음 값을 제공합니다.
- RESOURCE_TYPE: 액세스를 관리할 리소스 유형입니다. projects, resource-manager folders, organizations를 사용합니다.
- RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
- PRINCIPAL: 주 구성원이나 구성원의 식별자로, 대개 PRINCIPAL_TYPE:ID 형식을 따릅니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL에 지정할 수 있는 전체 값 목록은 주 구성원 식별자를 참조하세요.
  
  주 구성원 유형 user의 경우 식별자의 도메인 이름은 Google Workspace 도메인이나 Cloud ID 도메인이어야 합니다. Cloud ID 도메인을 설정하는 방법은 Cloud ID 개요를 참조하세요.
- ROLE_NAME: 취소할 역할의 이름입니다. 다음 형식 중 하나를 사용하세요.
  - 사전 정의된 역할: roles/SERVICE.IDENTIFIER
  - 프로젝트 수준 커스텀 역할: projects/PROJECT_ID/roles/IDENTIFIER
  - 조직 수준 커스텀 역할: organizations/ORG_ID/roles/IDENTIFIER
  사전 정의된 역할의 목록은 역할 이해를 참조하세요.
예를 들어 example-project 프로젝트에 대해 example-service-account@example-project.iam.gserviceaccount.com 서비스 계정에서 프로젝트 생성자 역할을 취소하려면 다음을 실행합니다.
```
gcloud projects remove-iam-policy-binding example-project 

      --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com 

      --role=roles/resourcemanager.projectCreator
```

필요한 역할을 취소하지 않도록 보장하기 위해 변경 위험 권장사항을 사용 설정할 수 있습니다. 변경 위험 권장사항은Google Cloud 에서 중요하다고 판단한 프로젝트 수준 역할을 취소하려고 시도할 때 경고를 생성합니다.

Google Cloud 콘솔을 사용하여 여러 역할 부여 또는 취소

Google Cloud 콘솔을 사용하여 단일 주 구성원에 대한 여러 역할을 부여하고 취소할 수 있습니다.

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

IAM으로 이동
프로젝트, 폴더, 조직을 선택합니다.
역할을 수정할 주 구성원을 선택합니다.
- 이미 리소스에 대한 역할이 있는 주 구성원의 역할을 수정하려면 주 구성원이 포함된 행을 찾아 해당 행에서 주 구성원 수정를 클릭하고 다른 역할 추가를 클릭합니다.
  
  서비스 에이전트에 대한 역할을 수정하려면 Google제공 역할 부여 포함 체크박스를 선택하여 이메일 주소를 확인합니다.
  
  참고: 리소스에 대해 액세스를 관리할 때 상속된 역할은 수정할 수 없습니다. 상속된 역할을 수정하려면 해당 역할이 부여된 리소스로 이동합니다.
- 리소스에 대해 역할이 없는 주 구성원에게 역할을 부여하려면 액세스 권한 부여를 클릭한 후 주 구성원의 식별자를 입력합니다(예: my-user@example.com).
주 구성원의 역할을 수정합니다.
- 리소스에 대한 기존 역할이 없는 주 구성원에게 역할을 부여하려면 역할 선택을 클릭한 후 드롭다운 목록에서 부여할 역할을 선택합니다.
- 주 구성원에게 추가 역할을 부여하려면 다른 역할 추가를 클릭한 후 드롭다운 목록에서 부여할 역할을 선택합니다.
- 주 구성원의 역할 중 하나를 다른 역할로 대체하려면 기존 역할을 클릭한 다음 드롭다운 목록에서 부여할 다른 역할을 선택합니다.
- 주 구성원 역할 중 하나를 취소하려면 취소하려는 각 역할의 삭제 버튼을 클릭합니다.
역할에 조건을 추가하거나 역할의 조건을 수정하거나 역할의 조건을 삭제할 수도 있습니다.
저장을 클릭합니다.

프로그래매틱 방식으로 여러 역할 부여 또는 취소

여러 주 구성원에 대한 여러 역할의 부여 및 취소가 포함된 대규모 액세스 변경을 수행하려면 읽기-수정-쓰기 패턴을 사용하여 리소스의 허용 정책을 업데이트합니다.

getIamPolicy()를 호출하여 현재 허용 정책을 읽습니다.
텍스트 편집기를 사용하거나 프로그래매틱 방식으로 허용 정책을 수정하여 주 구성원 또는 역할 바인딩을 추가하거나 삭제합니다.
setIamPolicy()를 호출하여 업데이트된 허용 정책을 작성합니다.

gcloud CLI, REST API 또는 Resource Manager 클라이언트 라이브러리를 사용하여 허용 정책을 업데이트할 수 있습니다.

일반적으로 정책 변경사항은 2분 이내에 적용됩니다. 하지만 경우에 따라 변경사항이 시스템 전체에 전파되려면 7분 이상 걸릴 수 있습니다.

현재 허용 정책 가져오기

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
리소스의 허용 정책을 가져오려면 리소스에 대해 get-iam-policy 명령어를 실행합니다.
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
다음 값을 제공합니다.
- RESOURCE_TYPE: 허용 정책을 가져오려는 리소스의 유형입니다. projects, resource-manager folders, organizations 중 한 가지 값을 사용합니다.
- RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
- FORMAT: 허용 정책에 사용하려는 형식입니다. json 또는 yaml을 사용합니다.
- PATH: 허용 정책에 대한 새 출력 파일의 경로입니다.
예를 들어 다음 명령어는 my-project 프로젝트의 허용 정책을 가져오고 이를 JSON 형식으로 홈 디렉터리에 저장합니다.
```
gcloud projects get-iam-policy my-project --format json > ~/policy.json
```

C#

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

다음 예시에서는 프로젝트에 대한 허용 정책을 가져오는 방법을 보여줍니다. 폴더 또는 조직의 허용 정책을 가져오는 방법은 프로그래밍 언어의 Resource Manager 클라이언트 라이브러리 문서를 참조하세요.


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.GetIamPolicyRequest;
import com.google.iam.v1.Policy;
import java.io.IOException;

public class GetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";

    getProjectPolicy(projectId);
  }

  // Gets a project's policy.
  public static Policy getProjectPolicy(String projectId) throws IOException {
    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .build();
      return projectsClient.getIamPolicy(request);
    }
  }
}

Python

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def get_project_policy(project_id: str) -> policy_pb2.Policy:
    """Get policy for project.

    project_id: ID or number of the Google Cloud project you want to use.
    """

    client = resourcemanager_v3.ProjectsClient()
    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    policy = client.get_iam_policy(request)
    print(f"Policy retrieved: {policy}")

    return policy

REST

Resource Manager API의 getIamPolicy 메서드는 프로젝트, 폴더, 조직의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

API_VERSION: 사용할 API 버전입니다. 프로젝트 및 조직에 v1을 사용합니다. 폴더에는 v2를 사용합니다.
RESOURCE_TYPE: 정책을 관리할 리소스 유형. projects, folders, organizations 값을 사용합니다.
RESOURCE_ID: Google Cloud프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.

HTTP 메서드 및 URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

JSON 요청 본문:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

API 탐색기(브라우저)

응답에는 리소스의 허용 정책이 포함됩니다. 예를 들면 다음과 같습니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:my-user@example.com"
      ]
    }
  ]
}

적절한 유형의 파일로 응답을 저장합니다(json 또는 yaml).

허용 정책 수정

특정 사용자에게 역할을 부여하거나 이 사용자의 역할을 취소하려면 프로그래매틱 방식으로 또는 텍스트 편집기를 사용하여 리소스 허용 정책의 로컬 복사본을 수정합니다.

다른 변경사항을 덮어쓰지 않도록 하려면 허용 정책의 etag 필드를 수정하거나 삭제하지 마세요. etag 필드는 허용 정책의 현재 상태를 식별합니다. 업데이트된 허용 정책을 설정하면 IAM은 요청에 있는 etag 값을 기존 etag와 비교하고 값이 일치하는 경우에만 허용 정책에 기록합니다.

허용 정책이 부여하는 역할을 수정하려면 허용 정책에서 역할 바인딩을 수정해야 합니다. 역할 바인딩의 형식은 다음과 같습니다.

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

자리표시자의 값은 다음과 같습니다.

ROLE_NAME: 부여할 역할의 이름입니다. 다음 형식 중 하나를 사용하세요.
- 사전 정의된 역할: roles/SERVICE.IDENTIFIER
- 프로젝트 수준 커스텀 역할: projects/PROJECT_ID/roles/IDENTIFIER
- 조직 수준 커스텀 역할: organizations/ORG_ID/roles/IDENTIFIER
사전 정의된 역할의 목록은 역할 이해를 참조하세요.
PRINCIPAL_1, PRINCIPAL_2, ...PRINCIPAL_N: 역할을 부여할 주 구성원의 식별자입니다.

주 구성원 식별자는 일반적으로 PRINCIPAL-TYPE:ID 형식입니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL에 지정할 수 있는 전체 값 목록은 주 구성원 식별자를 참조하세요.

주 구성원 유형 user의 경우 식별자의 도메인 이름은 Google Workspace 도메인이나 Cloud ID 도메인이어야 합니다. Cloud ID 도메인을 설정하는 방법은 Cloud ID 개요를 참조하세요.
CONDITIONS: 선택사항. 액세스 권한이 부여되는 시점을 지정하는 모든 조건입니다.

역할 부여

주 구성원에게 역할을 부여하려면 허용 정책에서 역할 바인딩을 수정합니다. 부여할 수 있는 역할에 대해 알아보려면 역할 이해 또는 리소스에 대한 부여 가능한 역할 보기를 참조하세요. 가장 적합한 사전 정의된 역할을 식별하는 데 도움이 필요하면 사전 정의된 역할 선택을 참조하세요.

필요에 따라 조건을 사용하여 특정 요구사항이 충족될 때만 역할을 부여할 수 있습니다.

이미 허용 정책에 포함된 역할을 부여하려면 주 구성원을 기존 역할 바인딩에 추가합니다.

gcloud

주 구성원을 기존 역할 바인딩에 추가하여 반환된 허용 정책을 수정합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

예를 들어 허용 정책에 다음 역할 바인딩이 포함된다고 가정해보세요. 이 역할 바인딩은 보안 검토자 역할(roles/iam.securityReviewer)을 Kai에 부여합니다.

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

동일한 역할을 Raha에 부여하려면 Raha의 주 구성원 식별자를 기존 역할 바인딩에 추가합니다.

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

C#

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddMember(Policy policy, string role, string member)
    {
        var binding = policy.Bindings.First(x => x.Role == role);
        binding.Members.Add(member);
        return policy;
    }
}

Go

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// addMember adds a member to a role binding.
func addMember(w io.Writer, policy *iam.Policy, role, member string) {
	for _, binding := range policy.Bindings {
		if binding.Role != role {
			continue
		}
		for _, m := range binding.Members {
			if m != member {
				continue
			}
			fmt.Fprintf(w, "Role %q found. Member already exists.\n", role)
			return
		}
		binding.Members = append(binding.Members, member)
		fmt.Fprintf(w, "Role %q found. Member added.\n", role)
		return
	}
	fmt.Fprintf(w, "Role %q not found. Member not added.\n", role)
}

Java

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.util.ArrayList;
import java.util.List;

public class AddMember {
  public static void main(String[] args) {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/existing-role";
    // TODO: Replace with your member.
    String member = "user:member-to-add@example.com";

    addMember(policy, role, member);
  }

  // Adds a member to a pre-existing role.
  public static Policy addMember(Policy policy, String role, String member) {
    List<Binding> newBindingsList = new ArrayList<>();

    for (Binding b : policy.getBindingsList()) {
      if (b.getRole().equals(role)) {
        newBindingsList.add(b.toBuilder().addMembers(member).build());
      } else {
        newBindingsList.add(b);
      }
    }

    // Update the policy to add the member.
    Policy updatedPolicy = policy.toBuilder()
            .clearBindings()
            .addAllBindings(newBindingsList)
            .build();

    System.out.println("Added member: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

from google.iam.v1 import policy_pb2
from snippets.get_policy import get_project_policy
from snippets.set_policy import set_project_policy


def modify_policy_add_principal(
    project_id: str, role: str, principal: str
) -> policy_pb2.Policy:
    """Add a principal to certain role in project policy.

    project_id: ID or number of the Google Cloud project you want to use.
    role: role to which principal need to be added.
    principal: The principal requesting access.

    For principal ID formats, see https://cloud.google.com/iam/docs/principal-identifiers
    """
    policy = get_project_policy(project_id)

    for bind in policy.bindings:
        if bind.role == role:
            bind.members.append(principal)
            break

    return set_project_policy(project_id, policy)

REST

주 구성원을 기존 역할 바인딩에 추가하여 반환된 허용 정책을 수정합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

예를 들어 허용 정책에 다음 역할 바인딩이 포함된다고 가정해보세요. 이 역할 바인딩은 보안 검토자 역할(roles/iam.securityReviewer)을 Kai에 부여합니다.

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

동일한 역할을 Raha에 부여하려면 Raha의 주 구성원 식별자를 기존 역할 바인딩에 추가합니다.

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

정책에 아직 포함되지 않은 역할을 부여하려면 새 역할 바인딩을 추가합니다.

gcloud

주 구성원에 역할을 부여하는 새 역할 바인딩을 추가하여 허용 정책을 수정합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

예를 들어 Compute 스토리지 관리자 역할(roles/compute.storageAdmin)을 Raha에 부여하려면 다음 역할 바인딩을 해당 허용 정책의 bindings 배열에 추가합니다.

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

C#

IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.


using System.Collections.Generic;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddBinding(Policy policy, string role, string member)
    {
        var binding = new Binding
        {
            Role = role,
            Members = new List<string> { member }
        };
        policy.Bindings.Add(binding);
        return policy;
    }
}

Java

IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.


import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.util.Collections;
import java.util.List;

public class AddBinding {
  public static void main(String[] args) {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy: GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/role-to-add";
    // TODO: Replace with your members.
    List<String> members = Collections.singletonList("user:member-to-add@example.com");

    addBinding(policy, role, members);
  }

  // Adds a member to a role.
  public static Policy addBinding(Policy policy, String role, List<String> members) {
    Binding binding = Binding.newBuilder()
            .setRole(role)
            .addAllMembers(members)
            .build();

    // Update bindings for the policy.
    Policy updatedPolicy = policy.toBuilder().addBindings(binding).build();

    System.out.println("Added binding: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

def modify_policy_add_role(policy: dict, role: str, principal: str) -> dict:
    """Adds a new role binding to a policy."""

    binding = {"role": role, "members": [principal]}
    policy["bindings"].append(binding)
    print(policy)
    return policy

REST

주 구성원에 역할을 부여하는 새 역할 바인딩을 추가하여 허용 정책을 수정합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

예를 들어 Compute 스토리지 관리자 역할(roles/compute.storageAdmin)을 Raha에 부여하려면 다음 역할 바인딩을 해당 허용 정책의 bindings 배열에 추가합니다.

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

활성화된 API 서비스와 관련된 역할만 부여할 수 있습니다. Compute Engine과 같은 서비스가 활성화되어 있지 않은 경우 Compute Engine에만 관련된 역할은 부여할 수 없습니다. 자세한 내용은 API 사용 및 사용 중지를 참조하세요.

프로젝트에 권한을 부여할 때, 특히 소유자(roles/owner) 역할을 부여할 때 고유한 제약조건이 있습니다. 자세한 내용은 projects.setIamPolicy() 참고 문서를 확인하세요.

역할 취소

역할을 취소하려면 역할 바인딩에서 주 구성원을 삭제합니다. 역할 바인딩에 다른 주 구성원이 없으면 전체 역할 바인딩을 삭제합니다.

gcloud

get-iam-policy 명령어에서 반환된 JSON 또는 YAML 허용 정책을 수정해 역할을 취소합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

주 구성원의 역할을 취소하려면 허용 정책의 bindings 배열에서 주 구성원이나 바인딩을 삭제합니다.

C#

IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy RemoveMember(Policy policy, string role, string member)
    {
        try
        {
            var binding = policy.Bindings.First(x => x.Role == role);
            if (binding.Members.Count != 0 && binding.Members.Contains(member))
            {
                binding.Members.Remove(member);
            }
            if (binding.Members.Count == 0)
            {
                policy.Bindings.Remove(binding);
            }
            return policy;
        }
        catch (System.InvalidOperationException e)
        {
            System.Diagnostics.Debug.WriteLine("Role does not exist in policy: \n" + e.ToString());
            return policy;
        }
    }
}

Go

IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// removeMember removes a member from a role binding.
func removeMember(w io.Writer, policy *iam.Policy, role, member string) {
	bindings := policy.Bindings
	bindingIndex, memberIndex := -1, -1
	for bIdx := range bindings {
		if bindings[bIdx].Role != role {
			continue
		}
		bindingIndex = bIdx
		for mIdx := range bindings[bindingIndex].Members {
			if bindings[bindingIndex].Members[mIdx] != member {
				continue
			}
			memberIndex = mIdx
			break
		}
	}
	if bindingIndex == -1 {
		fmt.Fprintf(w, "Role %q not found. Member not removed.\n", role)
		return
	}
	if memberIndex == -1 {
		fmt.Fprintf(w, "Role %q found. Member not found.\n", role)
		return
	}

	members := removeIdx(bindings[bindingIndex].Members, memberIndex)
	bindings[bindingIndex].Members = members
	if len(members) == 0 {
		bindings = removeIdx(bindings, bindingIndex)
		policy.Bindings = bindings
	}
	fmt.Fprintf(w, "Role %q found. Member removed.\n", role)
}

// removeIdx removes arr[idx] from arr.
func removeIdx[T any](arr []T, idx int) []T {
	return append(arr[:idx], arr[idx+1:]...)
}

Java

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class RemoveMember {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/existing-role";
    // TODO: Replace with your member.
    String member = "user:member-to-add@example.com";

    removeMember(policy, role, member);
  }

  // Removes member from a role; removes binding if binding contains no members.
  public static Policy removeMember(Policy policy, String role, String member) {
    // Creating new builder with all values copied from origin policy
    Policy.Builder policyBuilder = policy.toBuilder();

    // Getting binding with suitable role.
    Binding binding = null;
    for (Binding b : policy.getBindingsList()) {
      if (b.getRole().equals(role)) {
        binding = b;
        break;
      }
    }

    if (binding != null && binding.getMembersList().contains(member)) {
      List<String> newMemberList = new ArrayList<>(binding.getMembersList());
      // Removing member from a role
      newMemberList.remove(member);

      System.out.println("Member " + member + " removed from " + role);

      // Adding all remaining members to create new binding
      Binding newBinding = binding.toBuilder()
              .clearMembers()
              .addAllMembers(newMemberList)
              .build();

      List<Binding> newBindingList = new ArrayList<>(policyBuilder.getBindingsList());

      // Removing old binding to replace with new one
      newBindingList.remove(binding);

      // If binding has no more members, binding will not be added
      if (!newBinding.getMembersList().isEmpty()) {
        newBindingList.add(newBinding);
      }

      // Update the policy to remove the member.
      policyBuilder.clearBindings()
              .addAllBindings(newBindingList);
    }

    Policy updatedPolicy = policyBuilder.build();

    System.out.println("Exising members: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

from google.iam.v1 import policy_pb2
from snippets.get_policy import get_project_policy
from snippets.set_policy import set_project_policy


def modify_policy_remove_principal(
    project_id: str, role: str, principal: str
) -> policy_pb2.Policy:
    """Remove a principal from certain role in project policy.

    project_id: ID or number of the Google Cloud project you want to use.
    role: role to revoke.
    principal: The principal to revoke access from.

    For principal ID formats, see https://cloud.google.com/iam/docs/principal-identifiers
    """
    policy = get_project_policy(project_id)

    for bind in policy.bindings:
        if bind.role == role:
            if principal in bind.members:
                bind.members.remove(principal)
            break

    return set_project_policy(project_id, policy, False)

REST

get-iam-policy 명령어에서 반환된 JSON 또는 YAML 허용 정책을 수정해 역할을 취소합니다. 업데이트된 허용 정책을 설정해야만 이 변경사항이 적용됩니다.

주 구성원의 역할을 취소하려면 허용 정책의 bindings 배열에서 주 구성원이나 바인딩을 삭제합니다.

허용 정책 설정

역할을 부여하고 취소하도록 허용 정책을 수정한 후에는 setIamPolicy()를 호출하여 정책을 업데이트합니다.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
리소스의 허용 정책을 설정하려면 리소스에 대해 set-iam-policy 명령어를 실행합니다.
```
gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH
```
다음 값을 제공합니다.
- RESOURCE_TYPE: 허용 정책을 설정하려는 리소스 유형입니다. projects, resource-manager folders, organizations 중 한 가지 값을 사용합니다.
- RESOURCE_ID: Google Cloud 프로젝트, 폴더, 조직 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
- PATH: 새 허용 정책이 포함된 파일의 경로입니다.
응답에는 업데이트된 허용 정책이 포함됩니다.

예를 들어 다음 명령어는 policy.json에 저장된 허용 정책을 my-project 프로젝트의 허용 정책으로 설정합니다.
```
gcloud projects set-iam-policy my-project ~/policy.json
```

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy SetPolicy(string projectId, Policy policy)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        return service.Projects.SetIamPolicy(new SetIamPolicyRequest
        {
            Policy = policy
        }, projectId).Execute();
    }
}

Java

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

다음 예시에서는 프로젝트에 대한 허용 정책을 설정하는 방법을 보여줍니다. 폴더 또는 조직의 허용 정책을 설정하는 방법은 프로그래밍 언어의 Resource Manager 클라이언트 라이브러리 문서를 참조하세요.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import com.google.protobuf.FieldMask;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

public class SetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();

    setProjectPolicy(policy, projectId);
  }

  // Sets a project's policy.
  public static Policy setProjectPolicy(Policy policy, String projectId)
          throws IOException {

    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      List<String> paths = Arrays.asList("bindings", "etag");
      SetIamPolicyRequest request = SetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .setPolicy(policy)
              // A FieldMask specifying which fields of the policy to modify. Only
              // the fields in the mask will be modified. If no mask is provided, the
              // following default mask is used:
              // `paths: "bindings, etag"`
              .setUpdateMask(FieldMask.newBuilder().addAllPaths(paths).build())
              .build();

      return projectsClient.setIamPolicy(request);
    }
  }
}

Python

Resource Manager에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.

Resource Manager에 대해 클라이언트 라이브러리를 설치하고 사용하는 방법은 Resource Manager 클라이언트 라이브러리를 참조하세요.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def set_project_policy(
    project_id: str, policy: policy_pb2.Policy, merge: bool = True
) -> policy_pb2.Policy:
    """
    Set policy for project. Pay attention that previous state will be completely rewritten.
    If you want to update only part of the policy follow the approach read->modify->write.
    For more details about policies check out https://cloud.google.com/iam/docs/policies

    project_id: ID or number of the Google Cloud project you want to use.
    policy: Policy which has to be set.
    merge: The strategy to be used forming the request. CopyFrom is clearing both mutable and immutable fields,
    when MergeFrom is replacing only immutable fields and extending mutable.
    https://googleapis.dev/python/protobuf/latest/google/protobuf/message.html#google.protobuf.message.Message.CopyFrom
    """
    client = resourcemanager_v3.ProjectsClient()

    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"
    current_policy = client.get_iam_policy(request)

    # Etag should as fresh as possible to lower chance of collisions
    policy.ClearField("etag")
    if merge:
        current_policy.MergeFrom(policy)
    else:
        current_policy.CopyFrom(policy)

    request = iam_policy_pb2.SetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    # request.etag field also will be merged which means you are secured from collision,
    # but it means that request may fail and you need to leverage exponential retries approach
    # to be sure policy has been updated.
    request.policy.CopyFrom(current_policy)

    policy = client.set_iam_policy(request)
    return policy

REST

Resource Manager API의 setIamPolicy 메서드는 요청의 정책을 프로젝트, 폴더, 조직의 새 허용 정책으로 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

API_VERSION: 사용할 API 버전입니다. 프로젝트 및 조직에 v1을 사용합니다. 폴더에는 v2를 사용합니다.
RESOURCE_TYPE: 정책을 관리할 리소스 유형. projects, folders, organizations 값을 사용합니다.
RESOURCE_ID: Google Cloud프로젝트, 조직, 폴더 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.

HTTP 메서드 및 URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

JSON 요청 본문:

{
  "policy": POLICY
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content

API 탐색기(브라우저)

응답에는 업데이트된 허용 정책이 포함됩니다.

다음 단계

서비스 계정에 대한 액세스 관리 방법 알아보기
다른 리소스에 대한 액세스 관리 일반 단계 알아보기
가장 적합한 사전 정의된 역할 선택 방법 찾아보기
정책 문제해결 도구를 사용하여 사용자에게 리소스에 대한 액세스 권한 또는 API 호출 권한이 포함되거나 포함되지 않는 이유 알아보기
특정 리소스에 대해 부여할 수 있는 역할을 확인하는 방법 알아보기
조건부 역할 바인딩으로 주 구성원의 액세스 조건 생성 방법 알아보기
IAP(Identity-Aware Proxy)로 애플리케이션 보안을 강화하는 방법 알아보기

직접 사용해 보기

Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

무료로 시작하기

프로젝트, 폴더, 조직에 대한 액세스 관리 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

시작하기 전에

Console

gcloud

C#

Java

Python

REST

필요한 역할

필수 권한

현재 액세스 보기

콘솔

gcloud

C#

Java

Python

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

단일 역할 부여 또는 취소

단일 역할 부여

콘솔

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

단일 역할 취소

콘솔

gcloud

Google Cloud 콘솔을 사용하여 여러 역할 부여 또는 취소

프로그래매틱 방식으로 여러 역할 부여 또는 취소

현재 허용 정책 가져오기

gcloud

C#

Java

Python

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

허용 정책 수정

역할 부여

gcloud

C#

Go

Java

Python

REST

gcloud

C#

Java

Python

REST

역할 취소

gcloud

C#

Go

Java

Python

REST

허용 정책 설정

gcloud

C#

Java

Python

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

다음 단계

직접 사용해 보기

프로젝트, 폴더, 조직에 대한 액세스 관리