Cloud IAM: Qwik Start

Cloud IAM: Qwik Start | Google Cloud Skills Boost

 

Google Cloud's Identity and Access Management (IAM) 에 대해 배운다.

 

Cloud IAM이란 클라우드 안의 리소스에 대한 권한을 만들고 관리하는 서비스이다.

 

 

이것만 봐도 될듯

 

 

이번 실습에서는 아이디 2개를 가지고 진행한다.

 

먼저 user1에서 navigation menu -> IAM & Admin -> IAM 

 

 

ADD -> Select a role 을 클릭해서 어떤 role들이 있는지를 확인할 수 있다.

 

 

기본적인 네 가지 role (Browser, Editor, Owner, Viewer) 이 있다. (설명은 밑 링크 참조)

 

같은 read access이지만 Browser과 Viewer은 어떤 것을 볼 수 있는지에 대한 차이가 있다.

 

역할 이해  |  IAM 문서  |  Google Cloud

 

 

이번에는 user2에서 Navigation menu -> IAM & Admin -> IAM 를 클릭하자

 

 

user1과 user2의 role을 확인할 수 있다. (user들의 role을 실습을 위해 이미 설정해놓은듯)

 

 

밑의 user2는 Viewer 권한밖에 없어서 role을 add하지 못하는 것을 확인할 수 있다.

 

 

 

다시 user1으로 돌아가 Navigation menu -> Cloud Stoarage -> Browser 클릭

 

 

CREATE BUCKET 클릭

 

 

globally unique한 이름만 설정해주고 나머진 default값으로 bucket을 생성하자.

 

 

생성된 bucket 안에 내 컴퓨터에 있는 아무 txt 파일을 업로드해서 sample.txt 로 이름을 바꿔주자.

(sample.txt 파일을 업로드하니 sample.txt.txt 파일이 올라갔다. 이름 변경은 필수인듯 하다.)

 

 

 

다시 user2로 돌아가 생성된 bucket을 확인해보자.

(Viewer role을 가졌으므로 user2에서도 bucket과 object를 확인할 수 있다.)

 

 

 

이번에는 user2의 Viewer role을 없애볼 것이다.

 

다시 user1으로 돌아가서 Navigation menu -> IAM & Admin -> IAM 클릭

 

user2의 role을 삭제하자.

 

 

 

user2로 돌아가 Navigation menu -> Cloud Storage -> Browser

 

Permission error을 확인할 수 있다. (조금 시간이 걸릴 수 있다.)

 

 

 

user1으로 돌아가 user2에게 Storage Object Viewer 권한을 부여하자.

 

 

user2는 Cloud Object Viewer 권한만 가지고 있기에 콘솔에서 프로젝트를 볼 수 없다.

 

따라서 cloud shell으로 직접 cloud object에 접근해보자.

 

user2로 돌아가 Activate Cloud Shell을 클릭하자.

 

shell에 아래 명령어를 치고 output을 확인한다.

 

gsutil ls gs://[YOUR_BUCKET_NAME]/sample.txt

// output : gs://[YOUR_BUCKET_NAME]/sample.txt

 

 

이렇게 cloud resource에 대한 권한을 부여하고 삭제할 수 있다.