이 페이지에서는 IAP(Identity-Aware Proxy)를 사용하여 Compute Engine 인스턴스를 보호하는 방법을 설명합니다.
Google Cloud에 없는 리소스를 보호하려면 온프레미스 앱 및 리소스 보호를 참고하세요.
시작하기 전에
Compute Engine에 IAP를 사용 설정하려면 다음이 필요합니다.
- 결제가 사용 설정된 Google Cloud 콘솔 프로젝트가 있어야 합니다.
- 부하 분산기로 제공된 하나 이상의 Compute Engine 인스턴스 그룹
- 외부 HTTPS 부하 분산기 설정 알아보기
- 내부 HTTP 부하 분산기 설정 알아보기
- 부하 분산기 주소에 등록된 도메인 이름
- 모든 요청에 ID가 포함되었는지 확인하기 위한 애플리케이션 코드
- 사용자의 ID 가져오기에 대해 자세히 알아보세요.
Compute Engine 인스턴스를 아직 설정하지 않은 경우 전체적으로 둘러보려면 Compute Engine을 위한 IAP 설정을 참조하세요.
IAP는 Google 관리 OAuth 클라이언트를 사용하여 사용자를 인증합니다. 조직 내 사용자만 IAP가 사용 설정된 애플리케이션에 액세스할 수 있습니다. 조직 외부 사용자에게 액세스를 허용하려면 외부 애플리케이션에 IAP 사용 설정을 참조하세요.
Compute Engine 백엔드 서비스 또는 Compute Engine 전달 규칙에서 IAP를 사용 설정할 수 있습니다. Compute Engine 백엔드 서비스에서 IAP를 사용 설정하면 해당 백엔드 서비스만 IAP로 보호됩니다. Compute Engine 전달 규칙에서 IAP를 사용 설정하면 전달 규칙 뒤에 있는 모든 Compute Engine 인스턴스가 IAP로 보호됩니다.
전달 규칙에서 IAP 사용 설정
부하 분산기 승인 정책 프레임워크를 사용하여 전달 규칙에서 IAP를 사용 설정할 수 있습니다.
전달 규칙에서 IAP를 사용 설정한 후에 리소스에 권한을 적용할 수 있습니다.
Compute Engine 백엔드 서비스에서 IAP 사용 설정
해당 백엔드 서비스를 통해 Compute Engine 백엔드 서비스에서 IAP를 사용 설정할 수 있습니다.
콘솔
콘솔을 사용하여 IAP를 사용 설정하면 Google 관리 OAuth 클라이언트를 사용할 수 없습니다. Google Cloud
gcloud
API
다음 단계
- 액세스 수준을 적용하여 더욱 다양한 컨텍스트 규칙 설정하기
- Cloud 감사 로그 사용 설정의 액세스 요청을 참조하기
- IAP 자세히 알아보기