워크로드 아이덴티티

Google Cloud는 프로덕션 환경에서 워크로드의 ID 역할을 하는 서비스 계정을 제공합니다. 개발자는 워크로드에 직접 액세스 권한을 부여하는 대신 서비스 계정에 대한 액세스 권한을 부여한 후 워크로드에서 서비스 계정을 ID로 사용하게 합니다.

서비스 계정을 워크로드의 ID로 구성하는 방법에는 여러 가지가 있습니다. 사용할 수 있는 메서드는 워크로드가 실행되는 위치에 따라 달라집니다.

Google Cloud의 워크로드

Google Cloud에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드의 ID를 구성할 수 있습니다.

연결된 서비스 계정
관리형 워크로드 아이덴티티(Compute Engine에서 실행되는 워크로드만 해당)
워크로드 아이덴티티(Google Kubernetes Engine에서 실행되는 워크로드만 해당)
서비스 계정 키

연결된 서비스 계정

일부 Google Cloud 리소스의 경우 리소스가 기본 ID로 사용하는 사용자 관리 서비스 계정을 지정할 수 있습니다. 이 프로세스를 서비스 계정을 리소스에 연결하거나 서비스 계정과 리소스를 연결한다고 합니다.

리소스에서 실행되는 코드는 Google Cloud 서비스와 리소스에 액세스할 때 리소스에 연결된 서비스 계정을 ID로 사용합니다. 예를 들어 Compute Engine 인스턴스에 서비스 계정을 연결하고 인스턴스의 애플리케이션이 Google Cloud API를 호출하기 위해 클라이언트 라이브러리를 사용하는 경우 그러한 애플리케이션은 인증 및 승인에 연결된 서비스 계정을 자동으로 사용합니다.

대부분의 경우 리소스를 만들 때 서비스 계정을 리소스에 연결해야 합니다. 리소스를 만든 후에는 리소스에 연결된 서비스 계정을 변경할 수 없습니다. Compute Engine 인스턴스에는 이 규칙이 적용되지 않습니다. 필요에 따라 인스턴스에 연결된 서비스 계정을 변경할 수 있습니다.

자세한 내용은 리소스에 서비스 계정 연결을 참조하세요.

관리형 워크로드 아이덴티티

관리형 워크로드 아이덴티티를 사용하면 강력하게 증명된 ID를 Compute Engine 워크로드에 결합할 수 있습니다. 관리형 워크로드 아이덴티티를 사용하면 mTLS를 통해 워크로드를 다른 워크로드에 인증할 수 있지만 Google Cloud API에 인증하는 데 사용할 수는 없습니다.

관리형 워크로드 아이덴티티에 대한 자세한 내용은 관리형 워크로드 아이덴티티 개요를 참조하세요.

Compute Engine 워크로드와 함께 관리형 워크로드 아이덴티티를 사용하는 방법에 대한 자세한 내용은 mTLS를 통해 다른 워크로드에 워크로드 인증을 참조하세요.

GKE 워크로드 아이덴티티

GKE에서 실행되는 워크로드의 경우 워크로드 아이덴티티를 사용하면 GKE 클러스터의 Kubernetes 서비스 계정이 IAM 서비스 계정 역할을 수행할 수 있습니다. 구성된 Kubernetes 서비스 계정을 사용하는 포드는 Google Cloud API에 액세스할 때 자동으로 IAM 서비스 계정을 ID로 사용합니다. 워크로드 아이덴티티를 사용하면 클러스터의 애플리케이션마다 고유하고 세분화된 ID와 승인을 할당할 수 있습니다.

GKE 워크로드 아이덴티티에 대한 자세한 내용은 GKE의 워크로드 아이덴티티 제휴를 참조하세요.

서비스 계정 키

서비스 계정 키로 워크로드가 서비스 계정임을 인증한 다음 승인 목적으로 서비스 계정의 ID를 사용합니다. 서비스 계정 키를 올바르게 관리하지 않으면 보안 위험을 초래할 수 있습니다. 가능한 한 서비스 계정 키보다 안전한 대안을 선택해야 합니다. 서비스 계정 키로 인증해야 하는 경우 비공개 키와 서비스 계정 키 관리 권장사항에 설명된 기타 작업을 보호해야 합니다. 서비스 계정 키를 만들 수 없는 경우 서비스 계정 키 생성이 조직에 중지될 수 있습니다. 자세한 내용은 기본 보안별 조직 리소스 관리를 참조하세요.

외부 워크로드

Google Cloud 외부에서 워크로드를 실행하는 경우 다음 방법을 사용하여 워크로드의 ID를 구성할 수 있습니다.

워크로드 아이덴티티 제휴
서비스 계정 키