App Design Center에서 서비스 계정 구성

서비스 계정은 사용자가 아닌 Compute Engine 인스턴스와 같은 애플리케이션 또는 컴퓨팅 워크로드에서 사용하는 특별한 유형의 계정입니다. 서비스 계정은 계정 고유의 이메일 주소로 식별됩니다. 자세한 내용은 서비스 계정 개요를 참고하세요.

이 문서에서는 App Design Center를 사용하여 서비스 계정을 만들 때 구성할 수 있는 연결 및 매개변수를 설명합니다. 구성 매개변수는 terraform-google-service-accounts Terraform 모듈을 기반으로 합니다.

구성요소 연결

다음 표에는 서비스 계정에 연결할 수 있는 구성요소와 애플리케이션 및 생성된 Terraform 코드의 결과 업데이트가 포함되어 있습니다.

연결된 구성요소

애플리케이션 업데이트

배경 정보

Compute Engine 인스턴스 템플릿
  • Compute Engine 인스턴스 템플릿은 새 서비스 계정을 만드는 대신 연결된 서비스 계정을 사용합니다. 연결된 서비스 계정은 다른 Google Cloud 서비스에 대한 인증 및 승인에 사용됩니다.
  • 서비스 계정 이메일과 IAM 정보가 Compute Engine 인스턴스 템플릿에 추가됩니다.
 사용자 관리형 서비스 계정을 사용하는 VM 만들기

Secret Manager
  • 서비스 계정이 보안 비밀 데이터에 액세스할 수 있습니다.
  • roles/secretmanager.secretAccessor 역할이 서비스 계정에 할당됩니다.
 보안 비밀에 대한 액세스 관리하기

BigQuery
  • 서비스 계정은 Cloud Run과 같은 서비스에서 BigQuery 데이터 세트의 데이터를 읽고 수정하는 데 사용할 수 있습니다.
  • BigQuery roles/bigquery.dataEditor 역할이 서비스 계정에 추가됩니다.
 BigQuery IAM 역할 및 권한

Cloud Run
  • Cloud Run 서비스는 서비스 계정을 서비스 ID로 사용합니다.
  • roles/run.invoker 역할이 서비스 계정에 추가됩니다.
  • 서비스 계정 이메일과 IAM 정보가 Cloud Run 인스턴스에 추가됩니다.
 서비스 간 인증

Cloud SQL (MySQL)
  • 서비스 계정이 Cloud SQL (MySQL) 인스턴스에 연결할 수 있습니다.
  • roles/cloudsql.instanceUserroles/cloudsql.client 역할이 서비스 계정에 추가됩니다.
  • 서비스 계정 IAM 정보가 Cloud SQL 인스턴스에 추가됩니다.
 역할 및 권한

Cloud SQL(PostgreSQL)
  • 서비스 계정이 Cloud SQL (PostgreSQL) 인스턴스에 연결할 수 있습니다.
  • roles/cloudsql.instanceUserroles/cloudsql.client 역할이 서비스 계정에 추가됩니다.
  • 서비스 계정 IAM 정보가 Cloud SQL 인스턴스에 추가됩니다.
 역할 및 권한

Cloud Storage
  • 서비스 계정은 Cloud Storage 버킷의 객체를 관리할 수 있습니다.
  • 서비스 계정 IAM 정보가 Cloud Storage 버킷에 추가됩니다.
  • roles/storage.objectAdmin 역할이 서비스 계정에 할당됩니다.
 버킷의 IAM 정책 설정 및 관리

Memorystore for Redis
  • 서비스 계정은 Redis용 Memorystore 인스턴스를 관리할 수 있습니다.
  • roles/redis.editor 역할이 서비스 계정에 추가됩니다.
 Redis용 Memorystore 서비스 계정

Pub/Sub
  • 서비스 계정은 Pub/Sub 주제를 관리하고 구독에서 메시지를 가져올 수 있습니다.
  • roles/pubsub.editor 역할이 서비스 계정에 추가됩니다.
  • 서비스 계정 이름과 이메일 정보가 Pub/Sub 풀 구독에 추가됩니다.
 IAM으로 액세스 제어

Spanner
  • 서비스 계정에 Spanner 인스턴스에 대한 액세스 권한이 있습니다.
  • 서비스 계정이 Spanner 인스턴스에 IAM 사용자로 추가됩니다.
 서비스 계정을 사용하여 인스턴스 구성

Vertex AI
  • 서비스 계정은 Vertex AI 서비스와 상호작용할 수 있습니다.
  • roles/aiplatform.user 역할이 서비스 계정에 추가됩니다.
 IAM을 사용한 Vertex AI 액세스 제어

필수 구성 매개변수

템플릿에 서비스 계정 구성요소가 포함된 경우 배포하기 전에 다음 매개변수를 구성해야 합니다.

매개변수 이름

설명 및 제약 조건

배경 정보

프로젝트 ID

서비스 계정 리소스를 만들려는 프로젝트입니다.

 구성요소 구성

이름

6~30자(영문 기준) 사이여야 하는 식별자입니다. 소문자 영숫자 문자와 대시를 포함할 수 있습니다. 예를 들면 my-service-account입니다.

 서비스 계정 만들기

선택적 구성 매개변수

다음 매개변수는 선택사항입니다. 고급 매개변수를 표시하려면 구성 영역에서 고급 필드 표시를 선택합니다.

매개변수 이름

설명 및 제약 조건 정보

배경 정보

표시 이름

사용자가 읽을 수 있는 서비스 계정 이름입니다.

 서비스 계정 만들기

설명

사용자가 읽을 수 있는 설명입니다.

 서비스 계정 만들기
프로젝트 역할 project_roles 프로젝트, 폴더, 조직에 대한 액세스 관리