이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google Cloud의 아이덴티티 관리

Google Cloud를 사용하려면 사용자와 워크로드에 Google Cloud에서 인식할 수 있는 ID가 필요합니다.

이 페이지에서는 사용자와 워크로드의 ID를 구성하는 데 사용할 수 있는 방법을 간단히 설명합니다.

사용자 아이덴티티

Google Cloud가 사용자 아이덴티티를 인식할 수 있도록 사용자 아이덴티티를 구성하는 방법에는 여러 가지가 있습니다.

Cloud ID 또는 Google Workspace 계정 만들기: Cloud ID 또는 Google Workspace 계정이 있는 사용자는 Google Cloud에 인증하고 Google Cloud 리소스를 사용하도록 승인받을 수 있습니다. Cloud ID 및 Google Workspace 계정은 조직에서 관리하는 사용자 계정입니다.

다음 제휴 ID 전략 중 하나를 설정합니다.
- Cloud ID 또는 Google Workspace를 사용한 제휴: 사용자가 자신의 외부 사용자 인증 정보를 사용하여 Google 서비스에 로그인할 수 있도록 외부 ID를 해당 Cloud ID 또는 Google Workspace 계정과 동기화합니다. 이 방법을 사용하면 사용자에게 외부 계정과 Cloud ID 또는 Google Workspace 계정 등 계정 2개가 필요합니다. Google Cloud 디렉터리 동기화(GCDS)와 같은 도구를 사용하여 이러한 계정을 동기화 상태로 유지할 수 있습니다.
- 직원 ID 제휴: 외부 ID 공급업체(IdP)를 사용하여 사용자가 Google Cloud에 로그인하고 Google Cloud 리소스와 제품에 액세스하게 할 수 있습니다. 직원 ID 제휴를 사용하면 사용자는 외부 계정 하나만 있으면 됩니다. 이러한 유형의 사용자 ID를 제휴 ID라고도 합니다.

사용자 아이덴티티를 설정하는 방법에 대한 자세한 내용은 사용자 아이덴티티 개요를 참조하세요.

Google Cloud는 워크로드에 다음과 같은 유형의 ID 서비스를 제공합니다.

워크로드 아이덴티티 제휴를 사용하면 워크로드가 IdP에서 제공하는 ID를 사용하여 대부분의 Google Cloud 서비스에 액세스할 수 있습니다. 워크로드 아이덴티티 제휴를 사용하는 워크로드는 Google Cloud, Google Kubernetes Engine(GKE) 또는 다른 플랫폼(예: AWS, Azure, GitHub)에서 실행될 수 있습니다.
Google Cloud 서비스 계정은 워크로드 ID 역할을 할 수 있습니다. 워크로드에 직접 액세스 권한을 부여하는 대신 서비스 계정에 대한 액세스 권한을 부여한 후 워크로드에서 서비스 계정을 아이덴티티로 사용하게 하세요.
관리형 워크로드 아이덴티티(미리보기)를 사용하면 강력하게 증명된 ID를 Compute Engine 워크로드에 바인딩할 수 있습니다. 관리형 워크로드 아이덴티티를 사용하면 상호 TLS(mTLS)를 사용하여 워크로드를 다른 워크로드에 인증할 수 있지만 Google Cloud API에 인증하는 데는 사용할 수 없습니다.

사용할 수 있는 방법은 워크로드가 실행되는 위치에 따라 달라집니다.

Google Cloud에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드 아이덴티티를 구성할 수 있습니다.

GKE용 워크로드 아이덴티티 제휴: GKE 클러스터 및 Kubernetes 서비스 계정에 대한 IAM 액세스 권한을 부여합니다. 이렇게 하면 클러스터 워크로드에서 IAM 서비스 계정 가장을 사용하지 않고도 대부분의 Google Cloud 서비스에 직접 액세스할 수 있습니다.
연결된 서비스 계정: 서비스 계정이 리소스의 기본 아이덴티티로 작동하도록 서비스 계정을 리소스에 연결합니다. 리소스에서 실행되는 모든 워크로드는 Google Cloud 서비스에 액세스할 때 서비스 계정의 아이덴티티를 사용합니다.
단기 서비스 계정 사용자 인증 정보: 리소스에서 Google Cloud 서비스에 액세스해야 할 때마다 단기 서비스 계정 사용자 인증 정보를 생성하고 사용합니다. 가장 일반적인 사용자 인증 정보 유형은 OAuth 2.0 액세스 토큰과 OpenID Connect(OIDC) ID 토큰입니다.

Google Cloud 외부에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드 아이덴티티를 구성할 수 있습니다.

워크로드 아이덴티티 제휴: 외부 ID 공급업체의 사용자 인증 정보를 사용하여 워크로드가 서비스 계정을 일시적으로 가장하는 데 사용할 수 있는 단기 사용자 인증 정보를 생성합니다. 그러면 워크로드에서 서비스 계정을 ID로 사용하여 Google Cloud 리소스에 액세스할 수 있습니다.
서비스 계정 키: 서비스 계정의 공개/비공개 RSA 키 쌍의 비공개 부분을 사용하여 서비스 계정임을 인증합니다.

중요: 서비스 계정 키를 올바르게 관리하지 않으면 보안 위험이 발생할 수 있습니다. 가능한 한 서비스 계정 키보다 안전한 대안을 선택해야 합니다. 서비스 계정 키로 인증해야 하는 경우 비공개 키와 서비스 계정 키 관리 권장사항에 설명된 기타 작업을 보호해야 합니다. 서비스 계정 키를 만들 수 없는 경우 서비스 계정 키 생성이 조직에 중지될 수 있습니다. 자세한 내용은 보안 기반 조직 리소스 관리를 참조하세요.

워크로드 아이덴티티 설정을 위해 이러한 방법을 자세히 알아보려면 워크로드 아이덴티티 개요를 참조하세요.