[Google Cloud] Google Study Jam : Monitor and Manage Google Cloud Resources (1)

본 포스트는 2024년 Google Study Jam을 공부하면서 개인적으로 내용을 정리한 포스트 입니다.

 

Cloud IAM - Task1. Explore the IAM console and project level roles

Username 1 Cloud Console page에 Navigation menu > IAM & Admin > IAM을 들어간다.

+GRANT ACCESS 버튼을 누르고 스크롤을 내려 Select a role 섹션에 Basic으로 마우스를 올린다.

역할은 3가지가 있다.

Role Name	Permissions
roles/viewer	기존 리소스나 데이터 보기(수정 불가) 등 상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한
roles/editor	모든 뷰어 권한과 기존 리소스를 변경하는 등 상태를 수정하는 작업에 대한 권한
roles/owner	모든 편집자 권한과 다음 작업에 대한 권한 프로젝트와 프로젝트 내의 모든 리소스에 대한 역할과 권할을 관리한다. 프로젝트에 대한 청구를 설정한다.

 

Username 1은 프로젝트의 소유자 권한을 갖는다.

 

CANCEL을 눌러 Add principal 판넬을 빠져나온다.

 

Username 2 Console로 전환한다.

Navigation menu > IAM & Admin > IAM에 들어가서 표에서 Username1과 Username2를 찾고 부여된 역할을 검토한다.

 

다음이 표시되어야 한다.

• Username2에는 "Viewer"
• 맨 위에 +GRANT ACCESS 버튼은 회색으로 표시 되어 있고 클릭하려고 하면 "You need permissions for this action. Required permission(s): resource manager.projects.setIamPolicy " 메시지가 표시된다.

 

Username 1 콘솔로 전환한다.

 

 

Cloud IAM - Task2. Prepare a Cloud Storage bucket for access testing

Navigation menu > Cloud Storage > Buckets > +Create로 버킷을 만든다.

 

필드값을 설정

• Name : <globally unique name>
• Location Type : Multi-Region

 

Create > Confirm

Bucket Details 페이지에서 UPLOAD FILES을 누른다. 텍스트 또는 html 파일을 올린다.

파일의 점을 클릭해 Rename으로 업로드한 파일의 이름을 "sample.txt"로 변경한다.

Username 2 Console로 변경하고 Navigation menu > Cloud Storage > Buckets로 이동하고 이 사용자가 버킷을 볼 수 있는지 확인한다.

 

 

Cloud IAM - Task3. Remove project access

Username 1 console로 전환 후 Navigation menu > IAM & Admin > IAM 에서 Username 2 옆에 연필 아이콘을 클릭한다.

 

역할 이름 옆에 휴지통 아이콘을 클릭해 Username 2의 Viewer 권한을 삭제한다. 그리고 저장

Username 2 console로 전환 후 Navigation menu > Cloud Storage > Buckets로 이동해 버킷을 보려고 하면 permission error가 발생한다.

 

Cloud IAM - Task4.  Add Cloud Storage permissions 

Lab Connection panel에서 Username 2의 이름을 카피한다.

Username 1 console로 변경한 후 Navigation menu > IAM & Admin > IAM에 +GRANT ACCESS 버튼을 누르고 Username 2의 이름을 New principals 필드에 붙여 넣는다.

Select a role 필드의 드롭다운 메뉴에서 Cloud Storage > Storage Object Viewer 를 선택하고 저장

 

Username 2 console로 전환하고 Storage page로 이동

• 프로젝트 뷰어의 역할이 없으므로 콘솔에서 프로젝트나 해당 리소스를 볼 수 없다.
• 그러나 Cloud Storage에 대한 특정 액세스 권한인 Storage Object Viewer 역할을 가지고 있다.

Cloud Shell에서 다음 명령어를 입력

gsutil ls gs://[YOUR_BUCKET_NAME]
# 내 버킷 이름

 

이제 Username 2에게 Cloud Storage 버킷에 대한 보기 액세스 권한을 부여 했다.