API 및 서비스와 상호작용하려면 먼저 본인이 주장하는 신분임을 증명해야 합니다. Google Cloud 이러한 신분 증명 프로세스를 인증이라고 합니다.
에 인증하려면 신분을 증명하는 사용자 인증 정보를 제공해야 합니다. Google Cloud예를 들어 서비스를 사용하려면 비밀번호 및 일회용 코드와 같은 사용자 인증 정보를 사용하여 인증할 수 있습니다.
Google Cloud 인증된 사용자를 주 구성원 이라고 합니다. 프로젝트 또는 스토리지 버킷과 같은 리소스에 액세스하려고 하면 요청된 리소스에 대한 주 구성원의 액세스 수준을 확인합니다. Google Cloud Google Cloud이 프로세스를 승인이라고 하며 Identity and Access Management (IAM)라는 시스템에서 처리합니다.
이러한 동일한 개념은 워크로드 라고 하는 사용자를 대신하여 자동화된 작업을 실행하는 코드에도 적용됩니다. 워크로드는 신분을 증명하고 주 구성원으로 인증하기 위해 사용자 인증 정보를 제공해야 합니다. 그러면 Google Cloud 워크로드가 요청한 리소스에 대한 액세스 수준을 결정할 수 있습니다.
주 구성원 유형
인증할 수 있는 주 구성원 유형은 다양합니다. 작업의 여러 단계 또는 여러 개발 환경에서 서로 다른 주 구성원 유형을 사용할 수도 있습니다.
기본 주 구성원 유형과 인증에 필요한 사용자 인증 정보는 다음과 같습니다.
사용자 계정: 우발적인 관리 작업, 서비스의 비프로그래매틱 구성, 테스트, 실험, 관측 가능성과 같은 대화형 작업을 수행하는 사람을 위한 Google 계정입니다. Google Cloud
비밀번호 및 일회용 코드와 같은 사용자 인증 정보를 사용하여 사용자 계정으로 인증합니다.
서비스 계정: 워크로드가 서비스 또는 리소스에 액세스하는 데 사용할 수 있는 Google Cloud 내부 계정입니다. 일반적으로 서비스 계정으로 직접 인증하지 않습니다. 대신 Compute Engine VM과 같은 리소스에 서비스 계정을 연결하거나 서비스 계정 가장을 사용합니다.
대부분의 시나리오에서는 수명이 짧은 서비스 계정 사용자 인증 정보 를 사용하여 서비스 계정을 인증하는 것이 좋습니다.
제휴 ID: 외부 ID 공급업체의 사용자 또는 서비스 계정을 참조하는 ID입니다. 에서 지원하는 제휴 ID에는 이름이 비슷한 두 가지 유형이 있습니다 Google Cloud.
직원 ID 제휴: 외부 ID 공급업체에서 관리하는 ID를 사용하여 사용자가에 로그인할 수 있습니다. Google Cloud 조직에 이미 싱글 사인온 (SSO)이 설정되어 있는 경우 이 유형의 ID를 사용하여에 인증할 수 있습니다 Google Cloud.
직원 ID 제휴를 사용하려면 ID 공급업체가 OpenID Connect (OIDC) 또는 SAML 2.0 을 지원해야 합니다.
워크로드 아이덴티티 제휴: 외부에서 실행되는 워크로드가 Google Cloud 리소스에서 Google Cloud 작동할 수 있습니다.
워크로드 아이덴티티 제휴는 다음과 같은 환경에서 인증하는 워크로드와 함께 사용할 수 있습니다. X.509 클라이언트 인증서를 사용하는 워크로드, Amazon Web Services (AWS) 또는 Azure에서 실행되는 워크로드, 온프레미스 Active Directory, GitHub 및 GitLab과 같은 배포 서비스, 그리고 OpenID Connect (OIDC) 또는 Security Assertion Markup Language (SAML) v2.0을 지원하는 모든 ID 공급업체.
및 기타 지원되는 주 구성원 유형에 대해 자세히 알아보려면 Google Cloud 주 구성원 유형을 참고하세요.
인증을 위해 Google Cloud 조직 구성
조직의 인증을 설정할 때 기존 시스템과 워크플로를에 통합해야 할 수 있습니다. Google Cloud Google Cloud
사용하려는 기존 ID 공급업체가 있는 경우 설정 직원 ID 제휴해야 합니다.
리소스에 액세스해야 하는 Google Cloud 외부에서 실행되는 워크로드가 있는 경우 Google Cloud 리소스를 설정해야 합니다. 워크로드 아이덴티티 제휴
환경을 보호하기 위해 다음 작업도 실행하는 것이 좋습니다 Google Cloud .
사용자의 다단계 인증이 사용 설정되어 있는지 확인합니다.
사용자 및 워크로드 인증
에 인증하는 방법은 Google Cloud 사용 중인 API 및 서비스와 이러한 API 및 서비스와 상호작용하는 방식에 따라 다릅니다.
사용자 인증
우발적인 관리 작업, 리소스 설정, 구성 변경, 실험, 로그 탐색과 같은 수동 대화형 작업을 실행할 때는 사용자 계정의 사용자 인증 정보를 사용하여 인증합니다.
콘솔
콘솔에서 대화형 작업을 실행하려면 사용자 인증 정보를 사용하여 웹 인터페이스에 로그인하여 인증합니다. Google Cloud
콘솔 세션과 동일한 사용자 인증 정보가 gcloud CLI에 액세스할 수 있는 Cloud Shell에 사용됩니다. Google Cloud
gcloud
로컬 기기에 gcloud CLI를 설치한 후 사용자 인증 정보를 사용하여 터미널에서 다음 명령어를 실행하여에 인증할 수 있습니다. Google Cloud
gcloud auth login
인증 후 후속 gcloud 명령어는 로그인한 주 구성원을 사용하여 요청을 실행합니다.
직원 ID 제휴 사용자 인증 정보, 워크로드 아이덴티티 제휴 사용자 인증 정보 또는 서비스 계정 키로 인증하려면 gcloud CLI를 사용하여 인증을 참고하세요.
워크로드 인증
로컬 기기, Google Cloud온프레미스 또는 다른 클라우드에서 코드를 개발하고 실행하는 경우 워크로드를 인증하는 가장 유연하고 휴대 가능한 방법은 애플리케이션 기본 사용자 인증 정보 (ADC)라는 메커니즘을 통해 사용자 인증 정보를 제공하는 것입니다.
ADC를 구현하는 라이브러리 (예: Google Cloud 클라이언트 라이브러리)는 실행되는 환경의 알려진 위치에서 사용자 인증 정보를 확인합니다. 즉, 코드가 실행되는 위치를 변경하는 경우 코드 자체를 변경할 필요가 없으며 해당 환경에 사용되는 사용자 인증 정보만 변경하면 됩니다.
예를 들어 로컬에서 개발할 때 ADC가 인증에 사용자 인증 정보를 사용하도록 환경을 설정할 수 있습니다. 코드가 프로덕션 준비가 되면 변경하지 않고 Compute Engine VM 인스턴스에 배포하고 대신 수명이 짧은 서비스 계정 사용자 인증 정보를 사용하여 인증하도록 환경을 설정할 수 있습니다.
다음 시나리오에서는 ADC를 사용하여 인증할 수 없습니다.
gcloud CLI를 인증할 때.
API 키를 사용할 때. API 키는 특정 API에서만 사용할 수 있습니다.
특정 환경에 ADC를 설정하는 방법을 알아보려면 애플리케이션 기본 사용자 인증 정보 설정을 참고하세요.
다음 단계
주 구성원이 Google Cloud에서 액세스할 수 있는 항목을 제어하는 방법을 알아보려면 승인 및 액세스 제어를 참고하세요.