프로젝트 역할
프로젝트 역할은 프로젝트 내에서 리소스를 생성, 수정, 삭제, 조회하는 등 서비스 운영에 필요한 작업 권한을 정의하는 기본 역할 체계입니다.
프로젝트 역할 유형
프로젝트 역할은 아래와 같이 프로젝트 관리자, 프로젝트 멤버, 프로젝트 리더로 구분됩니다. 프로젝트 역할은 프로젝트 내 리소스에 대한 기본적인 접근 권한 수준을 정의합니다.
| 역할 | 권한 | 포함하는 하위 역할 |
|---|---|---|
| 프로젝트 관리자 (Admin) | 프로젝트 단위의 서비스 및 IAM 리소스에 대한 접근 및 제어 - 리소스 생성/조회/수정/삭제(CRUD) - 사용자 역할 추가/삭제/변경 - 서비스 계정 및 에이전트 관리 | 프로젝트 멤버, 프로젝트 리더 |
| 프로젝트 멤버 (Member) | 프로젝트 서비스 리소스에 대한 생성/조회/수정/삭제 권한 보유 - 단, IAM 리소스는 설정할 수 없음 | 프로젝트 리더 |
| 프로젝트 리더 (Reader) | 프로젝트 리소스 조회 전용 (수정/삭제 불가) | - |
특정 서비스의 리소스 관리는 해당 서비스의 서비스 역할을 통해 별도로 수행할 수 있습니다.
단, 프로젝트 관리자 또는 프로젝트 멤버는 프로젝트 내 모든 서비스 리소스의 생성, 수정, 삭제 권한을 이미 보유하므로, 별도의 서비스 역할을 부여하지 않아도 됩니다.
프로젝트 역할은 프로젝트 내 모든 리소스 관리 권한을 포함합니다. 따라서 프로젝트 사용자, 서비스 계정 등 프로젝트 내 IAM 리소스만 관리하려면 IAM 전용 역할(예: IAM 프로젝트 관리자, IAM 프로젝트 뷰어) 을 사용할 수 있습니다.
프로젝트 역할 세부 권한 비교
프로젝트 단위에서의 일반 IAM 기능과 서비스 리소스 운영 기능에 대한 주요 역할별 권한 차이는 아래와 같습니다.
| 기능/역할 | 프로젝트 관리자 (Admin) | 프로젝트 멤버 (Member) | 프로젝트 리더 (Reader) |
|---|---|---|---|
| 프로젝트 사용자 역할 할당/제거/수정 | ✓ | ||
| 프로젝트 설정 변경 | ✓ | ||
| 그룹 역할 할당/제거/수정 | ✓ | ||
| 서비스 계정 생성/삭제 | ✓ | ||
| 서비스 계정 자격 증명 발급/삭제 | ✓ | ||
| 프로젝트 내 서비스 리소스 생성/수정/삭제 | ✓ | ✓ | |
| 프로젝트 정보 조회 | ✓ | ✓ | ✓ |
| 프로젝트 내 서비스 리소스 조회 | ✓ | ✓ | ✓ |
| 프로젝트 사용자 및 역할 목록 조회 | ✓ | ✓ | ✓ |
| 그룹 역할 정보 조회 | ✓ | ✓ | ✓ |
| 서비스 계정 조회 | ✓ | ✓ | ✓ |
| 자격 증명 조회 | ✓ | ✓ | ✓ |
| 서비스 에이전트 계정 조회 | ✓ | ✓ | ✓ |
역할 조합의 활용
최소 권한 원칙(Principle of Least Privilege) 에 따라, 사용자에게는 필수적인 권한만 포함된 역할을 선별적으로 부여하는 것이 권장됩니다.
하위 역할의 권한은 상위 역할에 포함되어 있으므로, 동일한 권한을 중복 부여할 필요는 없습니다.
다중 역할 부여는 각 역할의 권한 범위 또는 책임이 명확히 분리되어야 하는 경우에 한해 제한적으로 적용하는 것이 바람직합니다.
기본적인 프로젝트 역할과 서비스 전용 역할이 함께 부여된 경우에는, 프로젝트 역할을 기준으로 작동합니다. 아래는 프로젝트 역할이 포함된 주요 역할 조합과 권한 범위입니다.
| 역할 조합 | 설명 |
|---|---|
| 프로젝트 관리자 또는 멤버 | 대부분의 서비스 리소스를 생성, 수정, 삭제할 수 있으며, 별도 서비스 역할 없이도 대부분의 작업 수행 가능 ⚠️ 단, IAM 리소스(사용자, 그룹, 역할, 서비스 계정 및 자격 증명 관리)는 접근 불가 |
| 프로젝트 리더 + IAM 프로젝트 뷰어 | 프로젝트 리소스와 IAM 구성을 모두 읽기 전용으로 조회 가능 - IAM 구성 상태를 확인해야 하는 보안 관리자, 감사 담당자에 적합 |
| 프로젝트 리더 + 서비스 매니저 | 프로젝트 전체 리소스에 대한 조회 권한과 특정 서비스 리소스에 대한 운영·관리 가능 - 서비스 단위로 운영 권한을 위임할 때 적합 - 예시: 프로젝트 리더 + Object Storage 매니저 |
| 프로젝트 관리자 + IAM 프로젝트 관리자 ❌ | ⚠️ 중복 부여: 프로젝트 관리자가 이미 프로젝트 내 리소스와 IAM 제어 권한을 보유 → IAM 전용 역할 추가 부여 불필요, 프로젝트 관리자만 부여하는 게 적절 |
| 프로젝트 멤버 + 서비스 뷰어 ❌ | ⚠️ 중복 부여: 프로젝트 멤버가 이미 프로젝트 리소스의 생성, 삭제 및 조회의 권한을 보유 → 서비스 역할 추가 부여 불필요, 프로젝트 멤버만 부여하는 게 적절 |