이 페이지에서는 Identity and Access Management(IAM) API, Google Cloud 콘솔, gcloud
명령줄 도구를 사용하여 서비스 계정을 만드는 방법을 설명합니다.
기본적으로 각 프로젝트에는 리소스에 대한 액세스를 제어하는 서비스 계정이 최대 100개까지 있을 수 있습니다. 필요한 경우 할당량 상향 조정을 요청할 수 있습니다. 할당량 및 한도 자세히 알아보기
시작하기 전에
Enable the IAM API.
인증을 설정합니다.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C++
이 페이지의 C++ 샘플을 로컬 개발 환경에서 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경 인증 설정을 참조하세요.
C#
이 페이지의 .NET 샘플을 로컬 개발 환경에서 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경 인증 설정을 참조하세요.
Go
이 페이지의 Go 샘플을 로컬 개발 환경에서 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경 인증 설정을 참조하세요.
자바
이 페이지의 Java 샘플을 로컬 개발 환경에서 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경 인증 설정을 참조하세요.
Python
이 페이지의 Python 샘플을 로컬 개발 환경에서 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경 인증 설정을 참조하세요.
REST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공하는 사용자 인증 정보를 사용합니다.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
자세한 내용은 Google Cloud 인증 문서의 REST 사용 인증을 참조하세요.
IAM 서비스 계정 이해
필요한 역할
서비스 계정을 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 서비스 계정 만들기(
roles/iam.serviceAccountCreator
) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
새로 만든 서비스 계정에 프로젝트에 대한 액세스 권한을 부여하려면 프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin
) 역할도 필요합니다.서비스 계정 만들기
서비스 계정을 만들 때 영숫자 ID(아래 샘플에서는
SERVICE_ACCOUNT_NAME
)를 제공해야 합니다(예:my-service-account
). ID는 6~30자여야 하며 소문자 영숫자 문자와 대시를 포함할 수 있습니다. 서비스 계정을 만든 후에는 이름을 변경할 수 없습니다.서비스 계정의 이름이 만들기 중 프로비저닝된 이메일 주소에
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
형식으로 표시됩니다.또한 각 서비스 계정에는 자동으로 생성되는 고유한 숫자 ID가 있습니다.
서비스 계정을 만들 때 다음 정보도 제공합니다.
DESCRIPTION
은 서비스 계정에 대한 설명입니다(선택사항).DISPLAY_NAME
은 서비스 계정의 별칭입니다.PROJECT_ID
는 Google Cloud 프로젝트의 ID입니다.
서비스 계정을 만든 후 60초 이상 기다려야 서비스 계정을 사용할 수 있습니다. 이는 읽기 작업이 eventual consistency를 가지기 때문에 발생합니다. 새 서비스 계정이 표시되는 데 다소 시간이 걸릴 수 있습니다. 서비스 계정을 만든 직후에 읽거나 사용하려고 시도하는데 오류가 발생하면 지수 백오프로 요청을 재시도할 수 있습니다.
콘솔
- Google Cloud 콘솔에서 서비스 계정 만들기 페이지로 이동합니다.
나머지 단계는 Google Cloud 콘솔에 표시됩니다.
- Google Cloud 프로젝트를 선택합니다.
- Google Cloud 콘솔에 표시할 서비스 계정 이름을 입력합니다.
Google Cloud 콘솔에서 이 이름을 기반으로 서비스 계정 ID가 생성됩니다. 필요한 경우 ID를 수정합니다. 나중에 이 ID를 변경할 수 없습니다.
- (선택사항) 서비스 계정에 대한 설명을 입력합니다.
- 지금 액세스 제어를 설정하지 않으려면 완료를 클릭하여 서비스 계정 만들기를 완료합니다. 액세스 제어를 지금 설정하려면 만들고 계속하기를 클릭하고 다음 단계로 진행합니다.
- (선택사항) 프로젝트의 서비스 계정에 부여할 IAM 역할을 하나 이상 선택합니다.
- 역할을 추가했으면 계속을 클릭합니다.
- (선택사항) 서비스 계정 사용자 역할 필드에 서비스 계정을 다른 리소스에 연결해야 하는 구성원을 추가합니다.
- (선택사항) 서비스 계정 관리자 역할 필드에서 서비스 계정을 관리해야 하는 구성원을 추가합니다.
- 완료를 클릭하여 서비스 계정 만들기를 마칩니다.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
서비스 계정을 만들려면
gcloud iam service-accounts create
명령어를 실행합니다.gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"
다음 값을 바꿉니다.
-
SERVICE_ACCOUNT_NAME
: 서비스 계정의 이름 -
DESCRIPTION
: 서비스 계정에 대한 선택적인 설명 -
DISPLAY_NAME
: Google Cloud 콘솔에 표시할 서비스 계정 이름
-
-
(선택사항) 서비스 계정에 프로젝트의 IAM 역할을 부여하려면
gcloud projects add-iam-policy-binding
명령어를 실행합니다.gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --role="ROLE_NAME"
다음 값을 바꿉니다.
-
PROJECT_ID
: 프로젝트 ID -
SERVICE_ACCOUNT_NAME
: 서비스 계정의 이름 -
ROLE_NAME
: 역할 이름(예:roles/compute.osLogin
)
-
-
(선택사항) 사용자가 다른 리소스에 서비스 계정 연결하도록 허용하려면 사용자에게 서비스 계정 사용자 역할(
roles/iam.serviceAccountUser
)을 부여하는gcloud iam service-accounts add-iam-policy-binding
명령어를 실행합니다.gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member="user:USER_EMAIL" \ --role="roles/iam.serviceAccountUser"
다음 값을 바꿉니다.
PROJECT_ID
: 프로젝트 IDSERVICE_ACCOUNT_NAME
: 서비스 계정의 이름USER_EMAIL
: 사용자의 이메일 주소
C++
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C++ API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
C#
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM C# API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Go
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Go API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Java
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Java API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
Python
IAM용 클라이언트 라이브러리를 설치하고 사용하는 방법은 IAM 클라이언트 라이브러리를 참조하세요. 자세한 내용은 IAM Python API 참고 문서를 참조하세요.
IAM에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 시작하기 전에를 참조하세요.
REST
serviceAccounts.create
메서드는 서비스 계정을 만듭니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
PROJECT_ID
: Google Cloud 프로젝트 ID. 프로젝트 ID는my-project
같은 영숫자 문자열입니다.SA_NAME
: 서비스 계정의 영숫자 ID. ID는 6~30자(영문 기준)여야 하며 소문자 영숫자 문자와 대시를 포함할 수 있습니다.SA_DESCRIPTION
: (선택사항) 서비스 계정에 대한 설명SA_DISPLAY_NAME
: 인간이 읽을 수 있는 서비스 계정 이름
HTTP 메서드 및 URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts
JSON 요청 본문:
{ "accountId": "SA_NAME", "serviceAccount": { "description": "SA_DESCRIPTION", "displayName": "SA_DISPLAY_NAME" } }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{ "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com", "projectId": "my-project", "uniqueId": "123456789012345678901", "email": "my-service-account@my-project.iam.gserviceaccount.com", "displayName": "My service account", "etag": "BwUp3rVlzes=", "description": "A service account for running jobs in my project", "oauth2ClientId": "987654321098765432109" }
생성된 서비스 계정이 자동으로 작동하도록 서비스 계정에 역할을 1개 이상 부여합니다.
또한 서비스 계정이 다른 프로젝트의 리소스에 액세스해야 하는 경우 일반적으로 서비스 계정을 만든 프로젝트에서 리소스에 대해 API를 사용 설정해야 합니다.
다음 단계
- 서비스 계정을 나열하고 수정하는 방법 알아보기
- 서비스 계정을 포함하여 모든 유형의 주 구성원에 IAM 역할 부여 과정 검토
- 리소스에 서비스 계정 연결 방법 알아보기
직접 사용해 보기
Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
무료로 시작하기달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2024-10-10(UTC)