IAM에서 Custom 역할을 생성하여 제한된 권한을 가진 역할을 만들 수 있습니다. 

기존에 IAM에 존재하는 Pre-defined 역할보다 제한적인 권한을 가진 역할을 만들 수 있어서 보안상 권장됩니다.[1]

일부 권한의 경우 Custom 역할에서 지원하지 않기 때문에 Custom 역할의 권한 지원 수준을 확인해야 합니다.[2]


* 역할을 생성할 때, 해당 역할이 프로젝트 수준 역할인지, 조직 수준 역할인지 꼭 확인하시기 바랍니다.

** 프로젝트 수준 Custom 역할에는 조직이나 폴더 수준의 권한에 대한 권한을 부여할 수 없습니다.[3]


1) GCP Console > IAM & Admin > Roles > Create Role



2) Add Permissions로 해당 역할에 권한을 부여할 수 있습니다.

권한 부여 시 기존에 있는 역할이 가지고 있는 권한 기준으로 필터링을 할 수도 있고, 권한의 이름이나 서비스 이름으로 필터링 하여 검색할 수 있습니다.





3) 사용하고자 하는 권한을 추가하여 역할을 생성합니다.

아래 예시에는 compute instance를 start/stop 하는 권한만 제한적으로 가진 역할을 생성하게 됩니다.



4) 생성한 역할 확인 및 수정

IAM & Admin > Roles 에서 생성한 Custom 역할을 확인할 수 있습니다. 

역할을 활성화/비활성화 할 수도 있고, Edit으로 수정하여 필요한 권한을 추가하거나 필요 없는 권한을 제거 할 수 있습니다.





[1] https://cloud.google.com/iam/docs/understanding-custom-roles?hl=ko

[2] https://cloud.google.com/iam/docs/custom-roles-permissions-support?hl=ko

[3] https://cloud.google.com/iam/docs/creating-custom-roles?hl=ko#viewing-resource-permissions