App Engine용 빠른 시작

이 페이지에서는 Cloud IAP(Identity-Aware Proxy)를 사용하여 App Engine 표준 또는 가변형 환경 애플리케이션을 배포하고 보호하는 과정을 안내합니다. 이 빠른 시작에는 로그인된 사용자 이름을 확인하는 App Engine 표준 환경 웹 앱용의 샘플 코드가 포함되어 있습니다. 이 빠른 시작은 Cloud Shell을 사용하여 샘플 애플리케이션을 복제하고 배포합니다. 이 빠른 시작을 사용하여 고유한 App Engine 표준 환경 또는 App Engine 가변형 환경 앱에 맞게 Cloud IAP를 사용 설정할 수 있습니다.

CDN(콘텐츠 전송 네트워크)에서 리소스를 제공하려는 경우, 권장사항 가이드에서 중요한 정보를 확인하세요.

시작하기 전에

  1. Google 계정에 로그인합니다.

    아직 계정이 없으면 새 계정을 등록하세요.

  2. Google Cloud Platform 프로젝트를 선택하거나 만듭니다.

    리소스 관리 페이지로 이동

  3. Google Cloud Platform 프로젝트에 결제가 사용 설정되어 있는지 확인하세요.

    결제 사용 설정 방법 알아보기

Cloud Shell 시작

  1. 콘솔 창 위에서 Cloud Shell 활성화를 클릭합니다. Cloud Shell 활성화

    콘솔 하단의 새로운 프레임 내에 Cloud Shell 세션이 열리고 명령줄 프롬프트가 표시됩니다. 셸 세션이 초기화되려면 몇 초가 걸릴 수 있습니다.

    Cloud Shell 세션
  2. Cloud Shell에 다음을 입력하여 프로젝트의 프로젝트 ID를 표시합니다.
    gcloud projects list
  3. 다음 명령어를 실행하여 기본 프로젝트를 설정합니다. 여기서 YOUR-PROJECT-ID는 이 빠른 시작에 사용하려는 프로젝트 ID입니다.
    gcloud config set project YOUR-PROJECT-ID

샘플 코드 가져오기

  1. Cloud Shell에 다음 명령어를 입력하여 샘플 애플리케이션을 가져옵니다.

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
    
  2. 샘플 코드가 있는 디렉토리로 변경합니다.

    cd python-docs-samples/appengine/standard/users/
    

애플리케이션 배포

  1. gcloud를 사용하여 애플리케이션을 App Engine에 배포합니다.
    gcloud app deploy
  2. target url:https://YOUR_PROJECT_ID.appspot.com 형식으로 표시됩니다. 애플리케이션에 액세스하려면 웹 브라우저에서 해당 URL로 이동합니다.

Cloud IAP 사용 설정

프로젝트 선택

  1. Identity-Aware Proxy 페이지로 이동합니다.
    Identity-Aware Proxy 페이지로 이동
  2. 아직 활성 프로젝트가 없으면 Cloud IAP로 보호하려는 프로젝트를 선택하라는 메시지가 표시됩니다. 샘플 애플리케이션을 배포한 프로젝트를 선택하세요.

OAuth 동의 화면 구성

프로젝트의 OAuth 동의 화면을 구성하지 않았으면 이를 수행하라는 메시지가 표시됩니다. OAuth 동의 화면에는 이메일 주소와 제품 이름이 필요합니다.

  1. OAuth 동의 화면으로 이동합니다.
    동의 화면 구성
  2. 이메일 주소 아래에서 공개 연락처로 표시하려는 이메일 주소를 선택합니다. 이 주소는 개발자의 이메일 주소 또는 개발자가 소유하는 Google 그룹이어야 합니다.
  3. 표시하려는 제품 이름을 입력합니다.
  4. 원하는 선택적인 세부정보를 추가합니다.
  5. 저장을 클릭합니다.

제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 나중에 변경하려면, 위 단계를 반복하여 동의 화면을 구성합니다.

Cloud IAP 액세스 설정

  1. Identity-Aware Proxy 페이지로 이동합니다.
    Identity-Aware Proxy 페이지로 이동
  2. 오른쪽의 액세스 옆에서 추가를 클릭합니다.
  3. 표시된 구성원 추가 대화상자에서 프로젝트에 대해 IAP 보안 웹 앱 사용자 역할을 부여하려는 그룹 또는 개별 사용자의 이메일 주소를 추가합니다.

    구성원은 다음 중 하나일 수 있습니다.

    • Google 계정: user@gmail.com
    • Google 그룹스: admins@googlegroups.com
    • 서비스 계정: server@example.gserviceaccount.com
    • G Suite 도메인: example.com

    액세스 권한이 있는 Google 계정을 추가해야 합니다.

  4. 구성원 추가를 마쳤으면 추가를 클릭합니다.

Cloud IAP 사용

  1. Identity-Aware Proxy 페이지의 리소스 아래에서 액세스를 제한하려는 App Engine 앱을 찾습니다. 게시됨 열에는 앱의 URL이 표시됩니다. 앱에 대해 Cloud IAP를 사용하려면 IAP 열에서 끄기를 클릭합니다.
  2. 표시된 IAP 사용 창에서 리소스에 액세스하기 위해 사용되는 모든 도메인을 나열합니다.
    • 자동으로 추가된 도메인이 애플리케이션을 제공할 것으로 예상되는 appspot.com 도메인과 일치하는지 확인합니다.
    • test-dot-app_name.appspot.com과 같은 기본값이 아닌 App Engine 버전을 사용하여 앱에 액세스하려면 이러한 버전이 나열되는지 확인합니다.
  3. Cloud IAP로 보호할 애플리케이션을 확인하기 위해 사용을 클릭합니다. 사용하도록 설정한 후, Cloud IAP는 애플리케이션에 대한 모든 연결에 대해 로그인 사용자 인증 정보가 필요합니다. 이 프로젝트에서 IAP 보안 웹 앱 사용자 역할이 있는 계정에만 액세스 권한이 부여됩니다.

액세스 테스트

  1. Cloud IAP에 추가한 Google 계정에서 앱 URL에 액세스합니다. 그러면 앱 액세스가 제한되어야 합니다.

  2. 그런 후 Chrome에서 시크릿 창을 사용하여 앱에 액세스하고, 메시지가 표시되면 로그인합니다. 승인되지 않은 계정으로 앱에 액세스하려고 시도하면 액세스 권한 없음 메시지가 표시됩니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서