Google Cloud를 사용하려면 사용자와 워크로드에 Google Cloud에서 인식할 수 있는 ID가 필요합니다.
이 페이지에서는 사용자와 워크로드의 ID를 구성하는 데 사용할 수 있는 방법을 간단히 설명합니다.
사용자 아이덴티티
Google Cloud가 사용자 아이덴티티를 인식할 수 있도록 사용자 아이덴티티를 구성하는 방법에는 여러 가지가 있습니다.
- Cloud ID 또는 Google Workspace 계정 만들기: Cloud ID 또는 Google Workspace 계정이 있는 사용자는 Google Cloud에 인증하고 Google Cloud 리소스를 사용하도록 승인받을 수 있습니다. Cloud ID 및 Google Workspace 계정은 조직에서 관리하는 사용자 계정입니다.
- 다음 제휴 ID 전략 중 하나를 설정합니다.
- Cloud ID 또는 Google Workspace를 사용한 제휴: 사용자가 자신의 외부 사용자 인증 정보를 사용하여 Google 서비스에 로그인할 수 있도록 외부 ID를 해당 Cloud ID 또는 Google Workspace 계정과 동기화합니다. 이 방법을 사용하면 사용자에게 외부 계정과 Cloud ID 또는 Google Workspace 계정 등 계정 2개가 필요합니다. Google Cloud 디렉터리 동기화(GCDS)와 같은 도구를 사용하여 이러한 계정을 동기화 상태로 유지할 수 있습니다.
- 직원 ID 제휴: 외부 ID 공급업체(IdP)를 사용하여 사용자를 인증 및 승인합니다. 그러면 사용자가 외부 사용자 인증 정보를 사용하여 Google Cloud에 로그인하고 Google 리소스 및 제품에 액세스할 수 있습니다. 직원 ID 제휴를 사용하면 사용자는 외부 계정 하나만 있으면 됩니다.
사용자 아이덴티티를 설정하는 방법에 대한 자세한 내용은 사용자 아이덴티티 개요를 참조하세요.
워크로드 아이덴티티
Google Cloud는 워크로드의 아이덴티티 역할을 할 서비스 계정을 제공합니다. 워크로드에 직접 액세스 권한을 부여하는 대신 서비스 계정에 대한 액세스 권한을 부여한 후 워크로드에서 서비스 계정을 아이덴티티로 사용하게 하세요.
워크로드가 서비스 계정을 ID로 사용하도록 하는 방법에는 여러 가지가 있습니다. 사용할 수 있는 방법은 워크로드가 실행되는 위치에 따라 달라집니다.
Google Cloud에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드 아이덴티티를 구성할 수 있습니다.
- 연결된 서비스 계정: 서비스 계정이 리소스의 기본 아이덴티티로 작동하도록 서비스 계정을 리소스에 연결합니다. 리소스에서 실행되는 모든 워크로드는 Google Cloud 서비스에 액세스할 때 서비스 계정의 아이덴티티를 사용합니다.
- 단기 서비스 계정 사용자 인증 정보: 리소스에서 Google Cloud 서비스에 액세스해야 할 때마다 단기 서비스 계정 사용자 인증 정보를 생성하고 사용합니다. 가장 일반적인 사용자 인증 정보 유형은 OAuth 2.0 액세스 토큰과 OpenID Connect(OIDC) ID 토큰입니다.
- Google Kubernetes Engine 워크로드 아이덴티티: Google Cloud 리소스에 액세스할 때 GKE 서비스 계정이 IAM 서비스 계정 역할을 하도록 허용합니다. 이 유형의 ID는 Google Kubernetes Engine 워크로드에만 적용됩니다.
Google Cloud 외부에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드 아이덴티티를 구성할 수 있습니다.
- 워크로드 아이덴티티 제휴: 외부 ID 공급업체의 사용자 인증 정보를 사용하여 워크로드가 서비스 계정을 일시적으로 가장하는 데 사용할 수 있는 단기 사용자 인증 정보를 생성합니다. 그러면 워크로드에서 서비스 계정을 ID로 사용하여 Google Cloud 리소스에 액세스할 수 있습니다.
서비스 계정 키: 서비스 계정의 공개/비공개 RSA 키 쌍의 비공개 부분을 사용하여 서비스 계정임을 인증합니다.
워크로드 아이덴티티 설정을 위해 이러한 방법을 자세히 알아보려면 워크로드 아이덴티티 개요를 참조하세요.