IAM

IAM
: 누가, 어떤 리소스에 무엇을 할 수 있는지를 결정한다. 

 

누가 : Google account, Google group, Service account, entire G Suite, Cloud identity domain, entire G Suite

무엇을 할 수 있는가: IAM role에 따라 결정된다. (Permission의 집합) 

 

IAM role

1. Owner : 멤버 초대 및 제거, 프로젝트 제거, 애플리케이션 배포, 코드 수정, 서비스 구성, 읽기, manage billing, 관리자 추가 및 제거

2. Editor : 프로젝트 제거, 애플리케이션 배포, 코드 수정, 서비스 구성, 읽기

3. Viewer : 읽기

4. Billing 관리자: manage billing, 관리자 추가 및 제거

 

ex) 

Compute Engines 를 다룰 때, 

 

Compute Engines InstanceAdmin 권한은 가상 머신의 구성을 읽고, 변경할 수 있고 시작과 중지가 가능하다. (default) 

Custom Role도 있어서 최소한의 권한 부여도 가능하다. (프로젝트, 조직 수준에서만 사용 가능) 

 

 

서비스 계정 (리소스에 포함 / 따라서 IAM 정책을 가질 수 있다) : 이메일 주소로 지정, 암호는 사용하지 않고 암호화된 키를 사용하여 리소스에 엑세스 한다. 
: