Google Cloud API 및 서비스와 상호작용하려면 본인이 주장하는 신분을 증명해야 합니다. 신원을 증명하는 이 과정을 인증이라고 합니다.
Google Cloud에 인증하려면 신원을 증명하는 사용자 인증 정보를 제공해야 합니다. 예를 들어 서비스를 사용하려면 비밀번호 및 일회용 코드와 같은 사용자 인증 정보를 사용하여 인증해야 할 수 있습니다.
Google Cloud 에서는 인증된 사용자를 주 구성원이라고 합니다. Google Cloud 프로젝트 또는 스토리지 버킷과 같은 리소스에 액세스하려고 하면 Google Cloud 에서 요청된 리소스에 대한 주 구성원의 액세스 수준을 확인합니다. 이 프로세스를 승인이라고 하며, Identity and Access Management (IAM)라는 시스템에서 처리합니다.
이러한 개념은 사용자를 대신하여 자동화된 작업을 실행하는 코드(워크로드라고 함)에도 적용됩니다. 워크로드는 ID를 증명하고 주 구성원으로 인증하기 위해 사용자 인증 정보를 제공해야 하며, 그러면 Google Cloud 요청한 리소스에 대한 워크로드의 액세스 수준을 확인할 수 있습니다.
주 구성원 유형
인증할 수 있는 주 구성원에는 여러 유형이 있습니다. 태스크의 서로 다른 단계에서 또는 서로 다른 개발 환경에서 서로 다른 주 구성원 유형을 사용할 수도 있습니다.
기본 주 구성원 유형과 인증에 필요한 사용자 인증 정보는 다음과 같습니다.
사용자 계정: 인간이 부수적인 관리 작업, Google Cloud 서비스의 비프로그래매틱 구성, 테스트, 실험, 관찰 가능성과 같은 대화형 작업을 수행하기 위한 Google 계정입니다.
비밀번호, 일회용 코드와 같은 사용자 인증 정보로 사용자 계정으로 인증합니다.
서비스 계정: 워크로드가 서비스 또는 리소스에 액세스하는 데 사용할 수 있는 Google Cloud 내부 계정입니다. 일반적으로 서비스 계정으로 직접 인증하지는 않습니다. 대신 Compute Engine VM과 같은 리소스에 서비스 계정을 연결하거나 서비스 계정 가장을 사용합니다.
대부분의 시나리오에서는 단기 서비스 계정 사용자 인증 정보를 사용하여 서비스 계정을 인증하는 것이 좋습니다.
제휴 ID: 외부 ID 공급업체의 사용자 또는 서비스 계정을 참조하는 ID입니다. Google Cloud에서 지원하는 두 가지 유형의 제휴 ID는 이름이 비슷합니다.
직원 ID 제휴: 인간 사용자가 외부 ID 공급업체에서 관리하는 ID로 Google Cloud 로그인할 수 있습니다. 조직에 이미 싱글 사인온 (SSO)이 설정되어 있는 경우 이 유형의 ID를 사용하여 Google Cloud에 인증할 수 있습니다.
직원 ID 제휴를 사용하려면 ID 공급업체가 OpenID Connect (OIDC) 또는 SAML 2.0을 지원해야 합니다.
워크로드 아이덴티티 제휴: Google Cloud 외부에서 실행되는 워크로드가 Google Cloud리소스에서 작동할 수 있습니다.
X.509 클라이언트 인증서를 사용하여 인증하는 워크로드, Amazon Web Services (AWS) 또는 Azure에서 실행되는 워크로드, 온프레미스 Active Directory, GitHub 및 GitLab과 같은 배포 서비스, OpenID Connect (OIDC) 또는 Security Assertion Markup Language (SAML) V2.0을 지원하는 ID 공급업체와 함께 워크로드 아이덴티티 제휴를 사용할 수 있습니다.
Google Cloud에서 지원되는 이러한 주 구성원 유형 및 기타 주 구성원 유형에 대해 자세히 알아보려면 주 구성원 유형을 참고하세요.
인증을 위해 Google Cloud 조직 구성
Google Cloud 조직의 인증을 설정할 때 기존 시스템과 워크플로를 Google Cloud에 통합해야 할 수 있습니다.
사용할 기존 ID 공급업체가 있는 경우 직원 ID 제휴를 설정해야 합니다.
Google Cloud 리소스에 액세스해야 하는 워크로드가 Google Cloud 외부에서 실행되는 경우 워크로드 아이덴티티 제휴를 설정해야 합니다.
또한 환경을 보호하기 위해 다음을 수행하는 것이 좋습니다. Google Cloud
사용자에 대해 다단계 인증이 사용 설정되어 있는지 확인합니다.
재인증 설정을 변경해야 하는지 확인합니다.
API 키 관리를 위한 정책을 만듭니다.
서비스 계정 키 관리를 위한 정책을 만듭니다.
사용자 및 워크로드 인증
Google Cloud 에 인증하는 방법은 사용하는 API 및 서비스와 이러한 API 및 서비스와 상호작용하는 방식에 따라 다릅니다.
사람 인증
부수적인 관리 작업, 리소스 설정, 구성 변경, 실험, 로그 탐색과 같은 수동 대화형 작업을 수행할 때는 사용자 계정의 사용자 인증 정보를 사용하여 인증합니다.
콘솔
Google Cloud 콘솔에서 대화형 작업을 하려면 사용자 인증 정보로 웹 인터페이스에 로그인하여 인증합니다.
Google Cloud 콘솔 세션의 동일한 사용자 인증 정보가 Cloud Shell에 사용되며, 여기에서 gcloud CLI에 액세스할 수 있습니다.
gcloud
로컬 기기에 gcloud CLI를 설치한 후 사용자 인증 정보를 사용하여 터미널에서 다음 명령어를 실행하여 Google Cloud 에 인증할 수 있습니다.
gcloud auth login
인증 후 후속 gcloud 명령어는 로그인된 주 구성원을 사용하여 요청을 합니다.
인력 아이덴티티 제휴 사용자 인증 정보, 워크로드 아이덴티티 제휴 사용자 인증 정보 또는 서비스 계정 키로 인증하려면 gcloud CLI 사용을 위한 인증을 참고하세요.
워크로드 인증
로컬 기기,Google Cloud, 온프레미스 또는 다른 클라우드에서 코드를 개발하고 실행하는 경우 워크로드를 인증하는 가장 유연하고 휴대 가능한 방법은 애플리케이션 기본 사용자 인증 정보 (ADC)라는 메커니즘을 통해 사용자 인증 정보를 제공하는 것입니다.
ADC를 구현하는 라이브러리 (예: Google Cloud 클라이언트 라이브러리)는 실행되는 환경에서 알려진 위치의 사용자 인증 정보를 확인합니다. 즉, 코드가 실행되는 위치를 변경하는 경우 코드 자체를 변경할 필요가 없으며 해당 환경에 사용되는 사용자 인증 정보만 변경하면 됩니다.
예를 들어 로컬로 개발할 때 ADC가 인증에 사용자 인증 정보를 사용하도록 환경을 설정할 수 있습니다. 코드가 프로덕션 준비가 되면 변경하지 않고 Compute Engine VM 인스턴스에 배포하고 대신 단기 서비스 계정 사용자 인증 정보를 사용하여 인증하도록 환경을 설정할 수 있습니다.
다음 시나리오에서는 ADC를 사용하여 인증할 수 없습니다.
gcloud CLI를 인증할 때
API 키를 사용하는 경우 API 키는 특정 API에서만 사용할 수 있습니다.
특정 환경에 ADC를 설정하는 방법을 알아보려면 애플리케이션 기본 사용자 인증 정보 설정을 참고하세요.
다음 단계
Google Cloud의 다양한 인증 방법에 대해 자세히 알아보세요.
Google Cloud에서 주 구성원이 액세스할 수 있는 항목을 제어하는 방법을 알아보려면 승인 및 액세스 제어를 참고하세요.