사용자 정의 역할


Tier: Ultimate
Offering: GitLab.com, Self-managed, GitLab Dedicated

사용자 정의 역할을 통해 조직은 해당 조직의 요구에 맞는 정확한 권한과 권한을 갖는 사용자 역할을 생성할 수 있습니다.

[사용자 정의 역할 데모]에서 사용자는 [데모] 최종 게스트가 사용자 정의 역할을 통해 비공개 저장소에서 코드를 볼 수 있습니다를 확인할 수 있습니다.

개별적인 사용자 정의 역할 및 권한 요청에 대한 논의는 issue 391760에서 할 수 있습니다.

note

대부분의 사용자 정의 역할은 좌석 사용량 및 과금으로 간주됩니다. 사용자 지정 역할을 그룹에 추가하면 구독에 포함된 좌석보다 더 많은 좌석으로 추가 요금이 발생할 경우 경고가 표시됩니다.

사용 가능한 권한

사용 가능한 권한에 대한 자세한 정보는 사용자 정의 권한을 참조하십시오.

caution

게스트와 같은 하위 기본 역할에 추가된 권한에 따라 사용자 지정 역할을 지닌 사용자는 일반적으로 Maintainer 역할 이상으로 제한된 조치를 취할 수 있습니다. 예를 들어, 게스트에 CI/CD 변수 관리 권한이 추가된 사용자 정의 역할이 있다면 해당 역할을 지닌 사용자는 해당 그룹 또는 프로젝트에 Owners가 추가한 CI/CD 변수를 관리할 수 있습니다.

사용자 정의 역할 생성

사용자 정의 역할은 기본 역할에 권한을 추가하여 생성합니다.

원하는 만큼의 권한을 선택할 수 있습니다. 예를 들어 사용자 지정 역할을 만들어서 다음과 같은 권한을 가질 수 있습니다:

  • 취약성 보고서 보기.
  • 취약성의 상태 변경.
  • 병합 요청 승인.

GitLab SaaS

전제 조건:

  • 그룹의 소유자 역할을 가져야 합니다.
  1. 왼쪽 사이드바에서 검색 또는 이동하여를 선택하고 그룹을 찾습니다.
  2. 설정 > 역할 및 권한을 선택합니다.
  3. 새 역할을 선택합니다.
  4. 템플릿으로 사용할 기본 역할에서 기존의 기본 역할을 선택합니다.
  5. 역할 이름에 사용자 정의 역할의 제목을 입력합니다.
  6. 설명에 사용자 정의 역할에 대한 설명을 입력합니다. 255자 이내.
  7. 새로운 사용자 정의 역할의 권한을 선택합니다.
  8. 역할 생성을 선택합니다.

설정 > 역할 및 권한에서 모든 사용자 정의 역할의 목록은 다음을 표시합니다:

  • 사용자 정의 역할 이름.
  • 역할 ID.
  • 사용자 정의 역할이 사용하는 기본 역할.
  • 권한.

GitLab Self-managed

전제 조건:

  • Self-managed 인스턴스의 관리자여야 합니다.

Self-managed 인스턴스에 사용자 정의 역할을 생성한 후에는 해당 사용자 정의 역할을 인스턴스의 모든 그룹 또는 하위 그룹에서 사용자에게 할당할 수 있습니다.

  1. 왼쪽 사이드바에서 가장 아래에 있는 Admin을 선택합니다.
  2. 설정 > 역할 및 권한을 선택합니다.
  3. 새 역할을 선택합니다.
  4. 템플릿으로 사용할 기본 역할에서 기존의 기본 역할을 선택합니다.
  5. 역할 이름에 사용자 정의 역할의 제목을 입력합니다.
  6. 설명에 사용자 정의 역할에 대한 설명을 입력합니다. 255자 이내.
  7. 새로운 사용자 정의 역할의 권한을 선택합니다.
  8. 역할 생성을 선택합니다.

설정 > 역할 및 권한에서 모든 사용자 정의 역할의 목록은 다음을 표시합니다:

  • 사용자 정의 역할 이름.
  • 역할 ID.
  • 사용자 정의 역할이 사용하는 기본 역할.
  • 권한.

사용자 정의 역할을 생성하려면 API를 사용할 수도 있습니다.

사용자 정의 역할 편집

사용자 정의 역할을 생성한 후에는 해당 사용자 정의 역할의 이름, 설명 및 권한을 편집할 수 있습니다. 그러나 기본 역할은 변경할 수 없습니다. 기본 역할을 변경해야 하는 경우, 새로운 사용자 정의 역할을 생성해야 합니다.

GitLab SaaS

전제 조건:

  • 그룹의 소유자 역할을 가져야 합니다.
  1. 왼쪽 사이드바에서 검색 또는 이동하여를 선택하고 그룹을 찾습니다.
  2. 설정 > 역할 및 권한을 선택합니다.
  3. 사용자 정의 역할 옆에 수직 타원 ()을 선택하고 역할 편집을 선택합니다.
  4. 필요한대로 역할을 수정합니다.
  5. 역할 저장을 선택하여 역할을 업데이트합니다.

GitLab Self-managed

전제 조건:

  • Self-managed 인스턴스의 관리자여야 합니다.
  1. 왼쪽 사이드바에서 가장 아래에 있는 Admin을 선택합니다.
  2. 설정 > 역할 및 권한을 선택합니다.
  3. 사용자 정의 역할 옆에 수직 타원 ()을 선택하고 역할 편집을 선택합니다.
  4. 필요한대로 역할을 수정합니다.
  5. 역할 저장을 선택하여 역할을 업데이트합니다.

사용자 정의 역할을 편집하려면 API를 사용할 수도 있습니다.

사용자 정의 역할 삭제

필수 조건:

  • 그룹의 관리자이거나 소유자 역할이 있어야 합니다.

멤버가 해당 역할을 갖고 있지 않을 때에만 그룹에서 사용자 정의 역할을 삭제할 수 있습니다. 그룹 또는 프로젝트 멤버에서 사용자 정의 역할 해제를 참조하세요.

  1. 왼쪽 사이드바에서:
    • 온프레미스의 경우, 가장 아래에서 관리자(Admin)를 선택합니다.
    • SaaS의 경우, 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. 설정 > 역할 및 권한을 선택합니다.
  3. 사용자 정의 역할을 선택합니다.
  4. 동작(Actions) 열에서 역할 삭제(Delete role)()를 선택하고 확인합니다.

사용자 정의 역할을 삭제하려면 API를 사용하여 해당 역할을 삭제할 수도 있습니다. API를 사용하려면 사용자 정의 역할의 id를 알아야 합니다. 이 id를 모르는 경우 그룹에 대한 API 요청 또는 인스턴스에 대한 API 요청을 통해 확인할 수 있습니다.

그룹 또는 프로젝트에 사용자 정의 역할을 가진 사용자 추가

필수 조건:

사용자 정의 역할을 추가하는 경우:

  • 그룹에 사용자를 추가하는 경우, 그룹의 소유자 역할이 있어야 합니다.
  • 프로젝트에 사용자를 추가하는 경우, 프로젝트의 적어도 관리자 역할이 있어야 합니다.

사용자 정의 역할을 가진 사용자를 추가하려면:

그룹 또는 프로젝트 멤버가 사용자 정의 역할을 갖고 있는 경우, 최대 역할(Max role) 열의 테이블에서 “사용자 정의 역할”이 표시됩니다.

기존 그룹 또는 프로젝트 멤버에게 사용자 정의 역할 할당

필수 조건:

기존 멤버에게 사용자 정의 역할을 할당하는 경우:

  • 그룹 멤버인 경우, 그룹의 소유자 역할이 있어야 합니다.
  • 프로젝트 멤버인 경우, 프로젝트의 적어도 관리자 역할이 있어야 합니다.

UI를 사용하여 사용자 정의 역할 할당

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹 또는 프로젝트를 찾습니다.
  2. 관리 > 멤버를 선택합니다.
  3. 최대 역할(Max role) 열에서 멤버의 역할을 선택합니다. 역할 세부 정보(Role details) 창이 열립니다.
  4. 역할(Role) 드롭다운 목록을 사용하여 멤버에게 할당하려는 사용자 정의 역할을 선택합니다.
  5. 역할을 할당하려면 역할 업데이트(Update role)를 선택합니다.

API를 사용하여 사용자 정의 역할 할당

  1. 게스트로 루트 그룹 또는 루트 그룹 계층 구조의 하위 그룹 또는 프로젝트에 사용자를 직접 멤버로서 초대합니다. 이 시점에서 이 게스트 사용자는 그룹 또는 하위 그룹의 프로젝트에 있는 코드를 볼 수 없습니다.
  2. 선택 사항입니다. 게스트 사용자에게 사용자 정의 역할을 부여받는 게스트 사용자의 id를 모르는 경우에는 API 요청을 통해 해당 id를 확인합니다.

  3. 그룹 및 프로젝트 멤버 API 엔드포인트를 사용하여 멤버의 사용자 정의 역할을 연결합니다: 

    # 프로젝트 멤버십을 업데이트하는 경우
curl --request PUT --header "Content-Type: application/json" --header "Authorization: Bearer <your_access_token>" --data '{"member_role_id": '<member_role_id>', "access_level": 10}' "https://gitlab.example.com/api/v4/projects/<project_id>/members/<user_id>"

# 그룹 멤버십을 업데이트하는 경우
curl --request PUT --header "Content-Type: application/json" --header "Authorization: Bearer <your_access_token>" --data '{"member_role_id": '<member_role_id>', "access_level": 10}' "https://gitlab.example.com/api/v4/groups/<group_id>/members/<user_id>"

    여기서:

    • <project_id><group_id>: 사용자 정의 역할을 받는 멤버십과 연결된 프로젝트 또는 그룹의 id 또는 URL 인코딩된 경로입니다.
    • <member_role_id>: 이전 섹션에서 만든 멤버 역할의 id입니다.
    • <user_id>: 사용자가 사용자 정의 역할을 받는 멤버의 id입니다.

    이제 게스트+1 사용자는 이 멤버십과 연결된 모든 프로젝트의 코드를 볼 수 있습니다.

그룹 또는 프로젝트 멤버에서 사용자 정의 역할 해제

필수 조건:

그룹 또는 프로젝트 멤버에서 사용자 정의 역할을 해제하는 경우:

  • 그룹 멤버인 경우, 그룹의 소유자 역할이 있어야 합니다.
  • 프로젝트 멤버인 경우, 프로젝트의 적어도 관리자 역할이 있어야 합니다.

그룹 또는 프로젝트 멤버가 해당 역할을 갖고 있지 않을 때에만 그룹 또는 프로젝트에서 사용자 정의 역할을 제거할 수 있습니다. 이를 위해 다음 중 하나의 방법을 사용할 수 있습니다:

UI를 사용하여 사용자 역할 변경

그룹 멤버에서 사용자 정의 역할을 제거하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. 관리 > 멤버를 선택합니다.
  3. 최대 역할(Max role) 열에서 멤버의 역할을 선택합니다. 역할 세부 정보 창이 열립니다.
  4. 역할(Role) 드롭다운 목록을 사용하여 멤버에게 할당하려는 기본 역할을 선택합니다.
  5. 역할을 할당하려면 역할 업데이트를 선택합니다.

API를 사용하여 사용자 역할 변경

그룹 멤버에서 사용자 정의 역할을 제거하거나 업데이트하려면 그룹 및 프로젝트 멤버 API 엔드포인트를 사용하여 member_role_id 값이 비어 있는 경우 사용자 정의 역할을 업데이트하거나 제거할 수 있습니다: 

# 프로젝트 멤버십을 업데이트하는 경우
curl --request PUT --header "Content-Type: application/json" --header "Authorization: Bearer <your_access_token>" --data '{"member_role_id": null, "access_level": 10}' "https://gitlab.example.com/api/v4/projects/<project_id>/members/<user_id>"

# 그룹 멤버십을 업데이트하는 경우
curl --request PUT --header "Content-Type: application/json" --header "Authorization: Bearer <your_access_token>" --data '{"member_role_id": null, "access_level": 10}' "https://gitlab.example.com/api/v4/groups/<group_id>/members/<user_id>"

상속

사용자가 그룹에 속한 경우, 그들은 그룹의 _직접 멤버_이자 상속된 멤버입니다. 사용자가 최상위 그룹에서 사용자 정의 역할을 할당받으면 해당 역할의 권한은 하위 그룹 및 프로젝트에서도 상속됩니다.

예를 들어 다음과 같은 구조가 있다고 가정합니다:

  • 그룹 A
    • 하위 그룹 B
      • 프로젝트 1

만약 Group A에 개발자 + CI/CD 변수 관리 권한을 가진 사용자 정의 역할이 할당되어 있다면, 해당 사용자는 Subgroup B 및 Project 1에 대해서도 CI/CD 변수 관리 권한을 갖게 됩니다.

요금 청구 및 좌석 사용

게스트 역할을 가진 사용자에게 사용자 정의 역할을 할당하면, 해당 사용자는 기본 역할보다 높은 권한에 액세스할 수 있으며, 따라서:

이것은 사용자의 사용자 정의 역할에 read_code 권한만 활성화되어 있는 경우에는 적용되지 않습니다. 특정 권한만 있는 게스트 사용자는 청구 가능한 사용자로 간주되지 않으며 좌석을 사용하지 않습니다.

초대된 그룹에 사용자 정의 역할 할당

  • 초대된 그룹에 대한 사용자 정의 역할 지원은 GitLab 17.4에서 assign_custom_roles_to_group_links_sm이라는 특성 플래그로 도입되었습니다. 기본적으로 비활성화되어 있습니다.

플래그: 이 기능의 가용성은 플래그로 제어됩니다. 자세한 내용은 이력을 참조하십시오.

그룹이 다른 그룹으로 초대되어 사용자 정의 역할이 있는 경우, 새 그룹의 각 사용자의 사용자 정의 권한을 결정하는 다음 규칙이 적용됩니다:

  • 사용자가 한 그룹에서 기본 액세스 수준이 다른 그룹의 기본 역할보다 동일하거나 더 높은 사용자 정의 권한을 가지고 있는 경우, 사용자의 최대 역할은 기본 역할입니다. 즉, 사용자는 두 액세스 수준 중 낮은 수준의 액세스만 허용됩니다.
  • 사용자가 동일한 기본 엑세스 수준과 사용자 정의 권한을 가진 사용자와 함께 초대된 경우, 사용자는 항상 원래 그룹의 사용자 정의 권한을 부여받습니다.

예를 들어, Group A에 5명의 사용자가 있고, 다음과 같은 역할이 할당되어 있다고 가정해 봅시다:

  • 사용자 A: 게스트 역할
  • 사용자 B: 게스트 역할 + read_code 사용자 정의 권한
  • 사용자 C: 게스트 역할 + read_vulnerability 사용자 정의 권한
  • 사용자 D: 개발자 역할
  • 사용자 E: 개발자 + admin_vulnerability 사용자 정의 권한

그룹 B가 그룹 A를 초대합니다. 그룹 A의 사용자들이 그룹 B에서 가질 최대 역할은 다음과 같은 표에 나타납니다:

시나리오 사용자 A 사용자 B 사용자 C 사용자 D 사용자 E
그룹 B가 게스트로 그룹 A를 초대 게스트 게스트 게스트 게스트 게스트
그룹 B가 게스트 + read_code로 그룹 A를 초대 게스트 게스트 + read_code 게스트 + read_vulnerability 게스트 + read_vulnerability 게스트 + read_vulnerability
그룹 B가 게스트 + read_vulnerability로 그룹 A를 초대 게스트 게스트 + read_code 게스트 + read_vulnerability 게스트 + read_vulnerability 게스트 + read_vulnerability
그룹 B가 개발자로 그룹 A를 초대 게스트 게스트 + read_code 게스트 + read_vulnerability 개발자 개발자
그룹 B가 개발자 + admin_vulnerability로 그룹 A를 초대 게스트 게스트 + read_code 게스트 + read_vulnerability 개발자 개발자 + admin_vulnerability

사용자 C가 그룹 B로 초대되었을 때, 기본 역할(Guest)은 동일하지만 원래 그룹에서 사용자 정의 권한(read_coderead_vulnerability)이 서로 다르므로 사용자 C는 그룹 A에서의 사용자 정의 권한(read_vulnerability)을 유지합니다.

지원되는 객체

다음과 같은 경우에 사용자 정의 역할과 권한을 할당할 수 있습니다:

객체 버전 이슈
사용자 15.9 릴리스됨
그룹 지원 안 됨 이슈 443369
토큰 지원 안 됨 이슈 434354

지원되는 그룹 링크

다음 인증 공급자로 사용자를 사용자 정의 역할에 동기화할 수 있습니다:

알려진 문제

  • 사용자가 사용자 정의 역할을 가진 상태로 그룹 또는 프로젝트와 공유되는 경우, 그들의 사용자 정의 역할은 그대로 전달되지 않습니다. 사용자는 새 그룹이나 프로젝트에서 일반 게스트 역할을 가집니다.
  • 감사자 사용자는 사용자 정의 역할의 템플릿으로 사용할 수 없습니다.
  • 인스턴스 또는 네임스페이스에는 최대 10개의 사용자 정의 역할만 있을 수 있습니다. 자세한 내용은 이슈 450929를 참조하십시오.