서비스 계정에 단기 사용자 인증 정보 만들기

이 페이지에서는 서비스 계정 가장에 사용할 수 있는 서비스 계정에 대한 단기 사용자 인증 정보를 만드는 방법을 설명합니다. 생성하는 토큰 유형에 따라 단기 토큰은 서비스 계정과 연결된 ID(ID 토큰) 또는 권한(액세스 토큰)을 제공합니다.

시스템 아키텍처에서 일련의 토큰 생성 호출을 사용해야 하는 경우 여러 서비스 계정으로 구성된 위임 체인을 사용할 수 있습니다. 대부분의 경우에는 이 페이지에 설명된 대로 직접 방법으로 충분합니다.

시작하기 전에

Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.
IAM and Service Account Credentials API를 사용 설정합니다.
```
gcloud services enable iam.googleapis.com iamcredentials.googleapis.com
```
IAM 서비스 계정에 대한 이해가 필요합니다.
서비스 계정 가장에 대한 이해가 필요합니다.
필요한 토큰 종류를 이해하고 아래 섹션에 제시된 적절한 단계를 이용하세요.

단기 액세스 토큰 만들기

대부분의 Google API 인증에서는 액세스 토큰을 수용합니다. 서비스 계정 가장을 사용하여 액세스 토큰을 생성할 때 액세스 토큰은 갱신 토큰 없이 제공됩니다. 즉, 토큰이 만료되면 가장 프로세스를 반복하여 새 토큰을 생성해야 합니다.

자세한 내용은 액세스 토큰을 참조하세요.

단기 액세스 토큰을 만들려면 다음 태스크를 완료하세요.

호출자에게 필요한 권한 제공하기
액세스 토큰 생성하기

필수 권한 제공

직접 요청에는 ID 2개, 즉 사용자 인증 정보를 요청하는 호출자와 사용자 인증 정보를 만드는 서비스 계정이 필요합니다. 권한 설정 방법은 호출자가 서비스 계정 또는 Google 계정으로 인증하는지 여부에 따라 달라집니다.

로컬 개발 환경에서 이 페이지의 REST 또는 gcloud CLI 명령어를 실행하려면 사용자 인증 정보에 따라 호출자를 표시할 수 있습니다. Compute Engine에서 실행되는 애플리케이션과 같은 자동화된 워크로드의 경우 호출자는 서비스 계정으로 표현되어야 합니다.

서비스 계정

호출 애플리케이션이 서비스 계정을 ID로 사용하는 경우 다음 주 구성원이 포함됩니다.

호출자 서비스 계정(CALLER_SA)

이 서비스 계정은 단기 사용자 인증 정보 요청을 발급하는 호출 애플리케이션을 나타냅니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

CALLER_SA에 PRIV_SA에 대한 단기 사용자 인증 정보를 만들 수 있는 권한을 부여하려면 CALLER_SA에 PRIV_SA에 대한 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여합니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 서비스 계정(CALLER_SA)의 이메일 주소를 입력합니다.

예를 들면 demo@my-project.iam.gserviceaccount.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 서비스 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_SA: 단기 토큰을 요청 중인 애플리케이션을 나타내는 서비스 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "serviceAccount:CALLER_SA"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwXhCB4eyjY=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_SA에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정합니다.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

  {
    "version": 1,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/serviceAccountAdmin",
        "members": [
          "user:admin@example.com"
        ]
      },
      {
        "role": "roles/iam.serviceAccountTokenCreator",
        "members": [
          "serviceAccount:CALLER_SA"
        ]
      }
    ]
  }

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_SA는 단기 토큰을 만드는 서비스 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "serviceAccount:CALLER_SA"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

사용자 인증 정보

Google Cloud CLI를 사용하여 단기 토큰을 생성하려는 경우 또는 로컬 개발 환경에서 단기 토큰을 생성하려는 경우 사용자 계정을 사용해서 토큰을 생성할 수 있습니다. 종종 자신의 Google 계정을 사용할 수 있습니다.

사용자 계정을 사용해서 단기 토큰을 생성할 때는 다음 ID가 포함됩니다.

호출자 Google 계정(CALLER_ACCOUNT)

이 사용자 계정은 권한 보유 서비스 계정에 대해 단기 사용자 인증 정보를 생성하기 위해 사용됩니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

CALLER_ACCOUNT가 PRIV_SA에 대해 단기 사용자 인증 정보를 사용 설정 하려면 CALLER_ACCOUNT에 PRIV_SA에 대한 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여합니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 Google 계정 CALLER_ACCOUNT의 이메일 주소를 입력합니다.

예를 들면 username@google.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 사용자 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_ACCOUNT: 단기 토큰을 요청하는 데 사용 중인 사용자 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "user:CALLER_ACCOUNT"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwX1ZbefjXU=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_ACCOUNT에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정하세요.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_ACCOUNT는 단기 토큰을 만드는 사용자 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

액세스 토큰 생성

gcloud CLI, REST API, Cloud 클라이언트 라이브러리 및 Google API 클라이언트 라이브러리를 사용하여 OAuth 2.0 액세스 토큰을 생성할 수 있습니다.

REST API를 사용하고 시스템이 확장된 토큰 수명을 허용하도록 구성된 경우 기본값보다 긴 수명의 토큰을 만들 수 있습니다. Google Cloud CLI는 토큰 수명 설정을 지원하지 않습니다.

아래 샘플은 로컬 개발 환경에 사용하도록 설계되었습니다. 호출자는 서비스 계정 대신 사용자 계정으로 표시되어야 합니다.

서비스 계정을 위한 OAuth 2.0 액세스 토큰을 생성합니다.

gcloud

Google Cloud CLI에 호출자 Google 계정으로 로그인합니다.
```
gcloud auth login CALLER_ACCOUNT
```

서비스 계정에 대해 토큰을 생성합니다.

gcloud auth print-access-token 명령어는 서비스 계정에 대해 OAuth 2.0 액세스 토큰을 생성합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud auth print-access-token --impersonate-service-account=PRIV_SA

Windows(PowerShell)

gcloud auth print-access-token --impersonate-service-account=PRIV_SA

Windows(cmd.exe)

gcloud auth print-access-token --impersonate-service-account=PRIV_SA

다음과 비슷한 응답이 표시됩니다.

WARNING: This command is using service account impersonation. All API calls will be executed as
[my-sa@my-project.iam.gserviceaccount.com].
ya29.c.b0AXv0zTPnzTnDV8F8Aj5Fgy46Yf2v_v8eZIoKq7xGpfbpXuy23aQ1693m3gAuE8AZga7w6kdagN7a9bfdDYbdeoGY0CMHOClsCwIdutL7k_RFC672lOCbUgF5hS8Iu2nCA8hle-11LJXBLmaxFmH08ZTBJLuDrWSNd8cYqGYFunSC1K1qLIPBF18tsa0hxVgKPucI8b1A9L8_MK1JGLGcr0n7-zY77_lmbcdODG3NmIbLOGWOutjJgqSO_YoeCKK2QTUZIp5PG7RkKlXWnmYJA9pEahzNoQrs5sWZctc2bia9af_ITzqqlXC9h1Kj5-me6e8rd734MJvpagqYazRk0gGWpMb03XmMGpgPc_FBp4pnX9rGOzW83SNpcDz8zeFO1Q0Bo3N7CuZougjRce0y8I2_4rtw5ME_nV3wrCWa..................................................................................................................................................................................................................................................................................................

REST

Service Account Credentials API의 serviceAccounts.generateAccessToken 메서드는 서비스 계정의 OAuth 2.0 액세스 토큰을 생성합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
LIFETIME: 액세스 토큰이 만료될 때까지의 시간(초)입니다. 예를 들면 300s입니다.

기본적으로 토큰 최대 수명은 1시간(3,600초)입니다. 이 토큰의 최대 수명을 12시간(43,200초)까지 연장하려면 constraints/iam.allowServiceAccountCredentialLifetimeExtension 목록 제약조건이 포함된 조직 정책에 서비스 계정을 추가합니다.

HTTP 메서드 및 URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateAccessToken

JSON 요청 본문:

{
  "scope": [
    "https://www.googleapis.com/auth/cloud-platform"
  ],
  "lifetime": "LIFETIME"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateAccessToken"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateAccessToken" | Select-Object -Expand Content

API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

generateAccessToken 요청이 성공하면 응답 본문에 OAuth 2.0 액세스 토큰과 만료 시간이 포함됩니다. 그런 다음 accessToken을 expireTime에 도달할 때까지 서비스 계정 대신 요청을 인증하는 데 사용할 수 있습니다.

{
  "accessToken": "eyJ0eXAi...NiJ9",
  "expireTime": "2020-04-07T15:01:23.045123456Z"
}

OpenID Connect (OIDC) ID 토큰 생성

ID 토큰은 OpenID Connect(OIDC) 사양을 따릅니다. ID 토큰은 제한된 수의 서비스와 애플리케이션에서 허용됩니다.

자세한 내용은 ID 토큰 및 Cloud Run 또는 Cloud Functions에서 호스팅되는 애플리케이션에 대한 인증을 참조하세요.

ID 토큰을 만들려면 다음 태스크를 완료하세요.

호출자에게 필요한 권한 제공하기

서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 사용하여 ID 토큰 만들기. 이 역할은 다른 토큰 유형에 사용하는 역할과 다른 역할입니다.
ID 토큰을 생성하기

필수 권한 제공

서비스 계정

호출 애플리케이션이 서비스 계정을 ID로 사용하는 경우 다음 주 구성원이 포함됩니다.

호출자 서비스 계정(CALLER_SA)

이 서비스 계정은 단기 사용자 인증 정보 요청을 발급하는 호출 애플리케이션을 나타냅니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

CALLER_SA에 PRIV_SA에 대한 단기 사용자 인증 정보를 만들 수 있는 권한을 부여하려면 CALLER_SA에 PRIV_SA에 대한 서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 부여하세요.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 서비스 계정(CALLER_SA)의 이메일 주소를 입력합니다.

예를 들면 demo@my-project.iam.gserviceaccount.com입니다.
서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 선택합니다.
저장을 클릭하여 서비스 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_SA: 단기 토큰을 요청 중인 애플리케이션을 나타내는 서비스 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "serviceAccount:CALLER_SA"
      ],
      "role": "roles/iam.serviceAccountOpenIdTokenCreator"
    }
  ],
  "etag": "BwXhCB4eyjY=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_SA에 서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 부여하도록 허용 정책을 수정합니다.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

  {
    "version": 1,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/serviceAccountAdmin",
        "members": [
          "user:admin@example.com"
        ]
      },
      {
        "role": "roles/iam.serviceAccountOpenIdTokenCreator",
        "members": [
          "serviceAccount:CALLER_SA"
        ]
      }
    ]
  }

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_SA는 단기 토큰을 만드는 서비스 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountOpenIdTokenCreator",
      "members": [
        "serviceAccount:CALLER_SA"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

사용자 인증 정보

사용자 계정을 사용해서 단기 토큰을 생성할 때는 다음 ID가 포함됩니다.

호출자 Google 계정(CALLER_ACCOUNT)

이 사용자 계정은 권한 보유 서비스 계정에 대해 단기 사용자 인증 정보를 생성하기 위해 사용됩니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

CALLER_ACCOUNT에 PRIV_SA에 대한 단기 사용자 인증 정보를 만들 수 있는 권한을 부여하려면 CALLER_ACCOUNT에 PRIV_SA에 대한 서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 부여하세요.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 Google 계정 CALLER_ACCOUNT의 이메일 주소를 입력합니다.

예를 들면 username@google.com입니다.
서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 선택합니다.
저장을 클릭하여 사용자 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_ACCOUNT: 단기 토큰을 요청하는 데 사용 중인 사용자 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountOpenIdTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "user:CALLER_ACCOUNT"
      ],
      "role": "roles/iam.serviceAccountOpenIdTokenCreator"
    }
  ],
  "etag": "BwX1ZbefjXU=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_ACCOUNT에 서비스 계정 OpenID Connect ID 토큰 생성자 역할(roles/iam.serviceAccountOpenIdTokenCreator)을 부여하도록 허용 정책을 수정합니다.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountOpenIdTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_ACCOUNT는 단기 토큰을 만드는 사용자 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountOpenIdTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

ID 토큰 생성

gcloud CLI, REST API, Cloud 클라이언트 라이브러리 및 Google API 클라이언트 라이브러리를 사용하여 OpenID Connect(OIDC) ID 토큰을 생성할 수 있습니다.

아래 샘플은 로컬 개발 환경에 사용하도록 설계되었습니다. 호출자는 서비스 계정 대신 사용자 계정으로 표시되어야 합니다.

OIDC ID 토큰은 1시간(3,600초) 동안 유효합니다.

서비스 계정에 대해 Google에서 서명된 OIDC ID 토큰을 생성합니다.

gcloud

Google Cloud CLI에 호출자 Google 계정으로 로그인합니다.
```
gcloud auth login CALLER_ACCOUNT
```

서비스 계정에 대해 토큰을 생성합니다.

gcloud auth print-identity-token 명령어는 서비스 계정에 대해 OIDC ID 토큰을 생성합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
AUDIENCE_NAME: 토큰의 대상이며, 일반적으로 토큰이 액세스하는 데 사용될 애플리케이션 또는 서비스의 URL입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"

Windows(PowerShell)

gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"

Windows(cmd.exe)

gcloud auth print-identity-token --impersonate-service-account=PRIV_SA --audiences="AUDIENCE_NAME"

다음과 비슷한 응답이 표시됩니다.

WARNING: This command is using service account impersonation. All API calls will be executed as
[my-sa@my-project.iam.gserviceaccount.com].
eyJhbGciOiJSUzI1NiIsImtpZDNhMDg4ZDRmZmMjJkYTVmZTM5MDZjY2MiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJ3d3cuZXhhbXBsJhenAiOiIxMTYzwNDYyMDk0ODIiLCJleHAiOjE2NTQ4ODU0MzEsImlhdCI6MTY1NDg4MTgzMSwiaXN6Ly9hY2NvdW50cy5nb29nbGUuY29tIiwic3ViIMDQ2MjA5NDgyIn0.F7mu8IHj5VQdu7ItFrnYAKyGd7YqXuOP_rFLc98q8BaFBycAF1zAQnSnwqnSUXba0UK9PDT_-IOry68qLwBObz4XlX9lk0ehpN0O0W9FcFToKLB6wefXXPd4h7xtuPe5KzmpSOqj2Qqv34HriGw00Nqd-oGSgNY_lZ4wGEf4rT4oQa_kEcrY57Q2G6pwd769BhgeFwoLi5aK_Cv2kvf_zfMszC-xlkP9zwWQ8XinJBwe-qcQBa4NTgrbueNtXsEjccBS366zmw

REST

Service Account Credentials API의 serviceAccounts.generateIdToken 메서드는 서비스 계정의 OIDC ID 토큰을 생성합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
AUDIENCE_NAME: 토큰의 대상이며, 일반적으로 토큰이 액세스하는 데 사용될 애플리케이션 또는 서비스의 URL입니다.

HTTP 메서드 및 URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateIdToken

JSON 요청 본문:

{
  "audience": "AUDIENCE_NAME",
  "includeEmail": "true"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateIdToken"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:generateIdToken" | Select-Object -Expand Content

API 탐색기(브라우저)

generateId 요청이 성공하면 다음과 같이 응답 본문에 1시간 동안 유효한 ID 토큰이 포함됩니다. 이후 token은 서비스 계정 대신 요청을 인증하는 데 사용할 수 있습니다.

{
  "token": "eyJ0eXAi...NiJ9"
}

자체 서명 JSON 웹 토큰(JWT) 생성

자체 서명 JSON 웹 토큰(JWT)은 다양한 시나리오에서 유용합니다.

API 게이트웨이에 배포된 API에 인증하는 경우
Google의 인증 가이드에서 설명하는 대로 Google API 호출을 인증하는 경우
자체 애플리케이션 간에 안전하게 통신하는 경우. 이 시나리오에서는 특정 애플리케이션이 다른 애플리케이션에서 인증 목적으로 확인할 수 있는 토큰에 서명할 수 있습니다.
사용자, 계정 또는 기기에 관한 임의 클레임이 포함된 JWT에 서명하여 서비스 계정을 ID 공급업체로 처리하는 경우

JWT를 만들려면 다음 태스크를 완료하세요.

호출자에게 필요한 권한 제공하기
JWT 생성하기

필수 권한 제공

서비스 계정

호출 애플리케이션이 서비스 계정을 ID로 사용하는 경우 다음 주 구성원이 포함됩니다.

호출자 서비스 계정(CALLER_SA)

이 서비스 계정은 단기 사용자 인증 정보 요청을 발급하는 호출 애플리케이션을 나타냅니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 서비스 계정(CALLER_SA)의 이메일 주소를 입력합니다.

예를 들면 demo@my-project.iam.gserviceaccount.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 서비스 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_SA: 단기 토큰을 요청 중인 애플리케이션을 나타내는 서비스 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "serviceAccount:CALLER_SA"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwXhCB4eyjY=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_SA에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정합니다.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

  {
    "version": 1,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/serviceAccountAdmin",
        "members": [
          "user:admin@example.com"
        ]
      },
      {
        "role": "roles/iam.serviceAccountTokenCreator",
        "members": [
          "serviceAccount:CALLER_SA"
        ]
      }
    ]
  }

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_SA는 단기 토큰을 만드는 서비스 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "serviceAccount:CALLER_SA"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

사용자 인증 정보

사용자 계정을 사용해서 단기 토큰을 생성할 때는 다음 ID가 포함됩니다.

호출자 Google 계정(CALLER_ACCOUNT)

이 사용자 계정은 권한 보유 서비스 계정에 대해 단기 사용자 인증 정보를 생성하기 위해 사용됩니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 Google 계정 CALLER_ACCOUNT의 이메일 주소를 입력합니다.

예를 들면 username@google.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 사용자 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_ACCOUNT: 단기 토큰을 요청하는 데 사용 중인 사용자 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "user:CALLER_ACCOUNT"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwX1ZbefjXU=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_ACCOUNT에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정하세요.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_ACCOUNT는 단기 토큰을 만드는 사용자 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

JWT 생성하기

자체 서명 JWT를 생성하세요.

REST

Service Account Credentials API의 serviceAccounts.signJwt 메서드는 서비스 계정의 시스템 관리 비공개 키를 사용하여 JWT에 서명합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
JWT_PAYLOAD: 서명할 JWT 페이로드로, JWT 클레임 집합이 저장되는 JSON 객체이기도 합니다. 원하는 사용 사례에 필요하고 호출 중인 서비스의 검증 요구사항을 충족하는 클레임을 포함합니다. Google API를 호출하는 경우 클레임 요건은 Google의 인증 가이드를 참조하세요.

exp(만료 시간) 클레임은 향후 12시간을 초과할 수 없습니다. Google API를 호출하는 경우 exp 클레임은 향후 1시간 이하로 설정해야 합니다.

다음 페이로드 예시에는 Google API를 호출하는 클레임이 포함되어 있습니다. 여기서 EXP는 만료 시간을 나타내는 정수 타임스탬프입니다.
```
{ \"iss\": \"PRIV_SA\", \"sub\": \"PRIV_SA\", \"aud\": \"https://firestore.googleapis.com/\", \"iat\": 1529350000, \"exp\": EXP }
```

HTTP 메서드 및 URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signJwt

JSON 요청 본문:

{
  "payload": "JWT_PAYLOAD"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signJwt"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signJwt" | Select-Object -Expand Content

API 탐색기(브라우저)

signJwt 요청이 성공하면 다음과 같이 응답 본문에 서명된 JWT와 JWT에 서명할 때 사용된 서명 키 ID가 포함됩니다. signedJwt 값을 Bearer 토큰으로 사용하여 서비스 계정 대신 요청을 직접 인증할 수 있습니다. 토큰은 요청에서 지정한 만료 시간까지만 유효합니다.

{
  "keyId": "42ba1e...fc0a",
  "signedJwt": "eyJ0eXAi...NiJ9"
}

자체 서명 바이너리 객체(blob) 생성

blob은 자체 서명 바이너리 객체(blob)가 데이터 작성자를 알 수 있는 방식으로 바이너리 데이터를 전송하는 데 사용됩니다(blob은 자체 서명되기 때문). blob을 사용하면 서명을 만들 수 있습니다. 서명된 URL은 서명된 URL을 포함한 다양한 인증 흐름에 필요한 Cloud Storage 객체입니다. 서명에 대한 자세한 내용은 Cloud Storage 문서를 참조하세요.

자체 서명 바이너리 객체를 만들려면 다음 태스크를 완료하세요.

호출자에게 필요한 권한 제공하기
자체 서명 blob 생성하기

필수 권한 제공

서비스 계정

호출 애플리케이션이 서비스 계정을 ID로 사용하는 경우 다음 주 구성원이 포함됩니다.

호출자 서비스 계정(CALLER_SA)

이 서비스 계정은 단기 사용자 인증 정보 요청을 발급하는 호출 애플리케이션을 나타냅니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 서비스 계정(CALLER_SA)의 이메일 주소를 입력합니다.

예를 들면 demo@my-project.iam.gserviceaccount.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 서비스 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_SA: 단기 토큰을 요청 중인 애플리케이션을 나타내는 서비스 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=serviceAccount:CALLER_SA --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "serviceAccount:CALLER_SA"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwXhCB4eyjY=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_SA에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정합니다.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

  {
    "version": 1,
    "etag": "BwWKmjvelug=",
    "bindings": [
      {
        "role": "roles/serviceAccountAdmin",
        "members": [
          "user:admin@example.com"
        ]
      },
      {
        "role": "roles/iam.serviceAccountTokenCreator",
        "members": [
          "serviceAccount:CALLER_SA"
        ]
      }
    ]
  }

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_SA는 단기 토큰을 만드는 서비스 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "serviceAccount:CALLER_SA"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

사용자 인증 정보

사용자 계정을 사용해서 단기 토큰을 생성할 때는 다음 ID가 포함됩니다.

호출자 Google 계정(CALLER_ACCOUNT)

이 사용자 계정은 권한 보유 서비스 계정에 대해 단기 사용자 인증 정보를 생성하기 위해 사용됩니다.
권한 보유 서비스 계정(PRIV_SA)

이 서비스 계정에는 단기 토큰에 필요한 IAM 역할이 부여됩니다. 이것은 단기 토큰이 생성되는 서비스 계정입니다.

PRIV_SA에 필요한 역할 부여:

콘솔

Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
프로젝트를 선택합니다.
권한 보유 서비스 계정 PRIV_SA의 이메일 주소를 클릭합니다.
권한 탭을 클릭합니다.
이 서비스 계정에 대한 액세스 권한이 있는 주 구성원에서 액세스 권한 부여를 클릭합니다.
호출자 Google 계정 CALLER_ACCOUNT의 이메일 주소를 입력합니다.

예를 들면 username@google.com입니다.
서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 선택합니다.
저장을 클릭하여 사용자 계정에 역할을 부여합니다.

gcloud

gcloud iam service-accounts add-iam-policy-binding 명령어는 서비스 계정에 역할을 부여합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 토큰이 생성되는 권한 보유 서비스 계정의 이메일 주소입니다.
CALLER_ACCOUNT: 단기 토큰을 요청하는 데 사용 중인 사용자 계정의 이메일 주소입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud iam service-accounts add-iam-policy-binding PRIV_SA \
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(PowerShell)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA `
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

Windows(cmd.exe)

gcloud iam service-accounts add-iam-policy-binding PRIV_SA ^
    --member=user:CALLER_ACCOUNT --role=roles/iam.serviceAccountTokenCreator --format=json

다음과 비슷한 응답이 표시됩니다.

Updated IAM policy for serviceAccount [PRIV_SA].
{
  "bindings": [
    {
      "members": [
        "user:CALLER_ACCOUNT"
      ],
      "role": "roles/iam.serviceAccountTokenCreator"
    }
  ],
  "etag": "BwX1ZbefjXU=",
  "version": 1
}

REST

PRIV_SA의 허용 정책을 읽어봅니다.

serviceAccounts.getIamPolicy 메서드는 서비스 계정의 허용 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy
```
JSON 요청 본문:
```
{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy"
```
PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA:getIamPolicy" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

다음과 비슷한 JSON 응답이 표시됩니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}
```
서비스 계정에 역할을 부여하지 않은 경우 응답에 etag 값만 포함됩니다. 다음 단계에서 해당 etag 값을 포함하세요.

CALLER_ACCOUNT에 서비스 계정 토큰 생성자 역할(roles/iam.serviceAccountTokenCreator)을 부여하도록 허용 정책을 수정하세요.

예를 들어 이전 단계의 샘플 응답을 수정하려면 다음을 추가합니다.

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}

업데이트된 허용 정책을 작성합니다.

serviceAccounts.setIamPolicy 메서드는 서비스 계정의 업데이트된 허용 정책을 설정합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.
- PROJECT_ID: Google Cloud 프로젝트 ID. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
- PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
- POLICY_VERSION: 반환할 정책 버전입니다. 요청에는 정책 버전 3인 최신 정책 버전이 지정되어야 합니다. 자세한 내용은 정책을 가져올 때 정책 버전 지정을 참조하세요.
- POLICY: 설정하려는 정책의 JSON 표현입니다. 정책 형식에 대한 자세한 내용은 정책 참조를 확인하세요.
  
  예를 들어 이전 단계에 표시된 허용 정책을 설정하려면 POLICY를 다음으로 바꿉니다. 여기서 CALLER_ACCOUNT는 단기 토큰을 만드는 사용자 계정입니다.
```
{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "user:CALLER_ACCOUNT"
      ]
    }
  ]
}
```
HTTP 메서드 및 URL:
```
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA
```
JSON 요청 본문:
```
{
  "policy": POLICY
}
```
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
curl(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA"
```
PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/PRIV_SA" | Select-Object -Expand Content
```
API 탐색기(브라우저)

요청 본문을 복사하고 메서드 참조 페이지를 엽니다. 페이지 오른쪽에 API 탐색기 패널이 열립니다. 이 도구를 사용하여 요청을 보낼 수 있습니다. 요청 본문을 이 도구에 붙여넣고 다른 필수 필드를 입력한 후 실행을 클릭합니다.

응답에는 업데이트된 허용 정책이 포함됩니다.

참고: 허용 정책을 코드로 취급하고 버전 제어 시스템에 저장하는 경우에는 요청으로 전송하는 정책이 아니라 반환되는 정책을 저장해야 합니다.

자체 서명 blob 생성하기

서비스 계정에 대해 자체 서명된 blob를 생성합니다.

REST

Service Account Credentials API의 serviceAccounts.signBlob 메서드는 서비스 계정의 시스템 관리 비공개 키를 사용하여 blob에 서명합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

PRIV_SA: 단기 토큰이 생성된 권한 보유 서비스 계정의 이메일 주소입니다.
BLOB_PAYLOAD: 바이트 단위의 base64 인코딩 문자열입니다. 예를 들면 VGhlIHF1aWNrIGJyb3duIGZveCBqdW1wZWQgb3ZlciB0aGUgbGF6eSBkb2cu입니다.

HTTP 메서드 및 URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signBlob

JSON 요청 본문:

{
  "payload": "BLOB_PAYLOAD"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signBlob"

PowerShell(Windows)

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/PRIV_SA:signBlob" | Select-Object -Expand Content

API 탐색기(브라우저)

signBlob 요청이 성공하면 다음과 같이 응답 본문에 서명된 blob과 blob에 서명할 때 사용된 서명 키 ID가 포함됩니다. signedBlob 값을 Bearer 토큰으로 사용하여 서비스 계정 대신 요청을 직접 인증할 수 있습니다. 토큰은 서비스 계정의 시스템 관리 비공개 키가 만료될 때까지 유효합니다. 이 키의 ID는 응답의 keyId 필드 값입니다.

{
  "keyId": "42ba1e...fc0a",
  "signedBlob": "eyJ0eXAi...NiJ9"
}

서비스 계정에 단기 사용자 인증 정보 만들기

시작하기 전에

단기 액세스 토큰 만들기

필수 권한 제공

서비스 계정

콘솔

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

curl(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

사용자 인증 정보

콘솔

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

curl(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

액세스 토큰 생성

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

OpenID Connect (OIDC) ID 토큰 생성

필수 권한 제공

서비스 계정

콘솔

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

curl(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

사용자 인증 정보

콘솔

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

curl(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

ID 토큰 생성

gcloud

Linux, macOS 또는 Cloud Shell

Windows(PowerShell)

Windows(cmd.exe)

REST

cURL(Linux, macOS, Cloud Shell)

PowerShell(Windows)

API 탐색기(브라우저)

자체 서명 JSON 웹 토큰(JWT) 생성

필수 권한 제공

서비스 계정

콘솔