Compute Engine에서 IAP 사용 설정

이 페이지에서는 IAP(Identity-Aware Proxy)를 사용하여 Compute Engine 인스턴스를 보호하는 방법을 설명합니다.

시작하기 전에

Compute Engine에 IAP를 사용 설정하려면 다음이 필요합니다.

• 청구가 사용 설정된 Google Cloud Console 프로젝트
• 부하 분산기로 제공된 하나 이상의 Compute Engine 인스턴스 그룹
  • 외부 HTTPS 부하 분산기 설정 알아보기
  • 내부 HTTP 부하 분산기 설정 알아보기
• 부하 분산기 주소에 등록된 도메인 이름
• 모든 요청에 ID가 포함되었는지 확인하기 위한 애플리케이션 코드
  • 사용자의 ID 가져오기에 대해 자세히 알아보세요.

Compute Engine 인스턴스를 아직 설정하지 않은 경우 전체적으로 둘러보려면 Compute Engine을 위한 IAP 설정을 참조하세요.

Google Cloud Console을 사용하여 IAP 사용 설정

OAuth 동의 화면 구성

프로젝트의 OAuth 동의 화면을 구성하지 않은 경우 구성해야 합니다. OAuth 동의 화면에는 이메일 주소와 제품 이름이 필요합니다.

1. OAuth 동의 화면으로 이동합니다.
   동의 화면 구성
2. 지원 이메일 아래에서 공개 연락처로 표시할 이메일 주소를 선택합니다. 이메일 주소는 현재 로그인한 사용자 계정 또는 현재 로그인한 사용자가 속한 Google 그룹에 속해 있어야 합니다.
3. 표시하려는 애플리케이션 이름을 입력합니다.
4. 원하는 선택적인 세부정보를 추가합니다.
5. 저장을 클릭합니다.

나중에 제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 변경하려면 앞의 단계를 반복하여 동의 화면을 구성합니다.

OAuth 사용자 인증 정보 만들기

1. 사용자 인증 정보 페이지로 이동합니다.
   사용자 인증 정보 페이지로 이동
2. 사용자 인증 정보 만들기 드롭다운에서 OAuth 클라이언트 ID를 선택합니다.
3. 애플리케이션 유형 아래에서 웹 애플리케이션을 선택합니다.
4. OAuth 클라이언트 ID에 이름을 추가합니다.
5. 만들기를 클릭합니다.

   OAuth 클라이언트 ID 및 클라이언트 보안 비밀번호가 생성되어 OAuth 클라이언트 창에 표시됩니다.

6. Oauth 클라이언트 생성됨 대화상자에서 클라이언트 ID를 클립보드에 복사합니다.
7. OK(확인)를 클릭합니다.
8. 방금 만든 클라이언트의 이름을 클릭하여 다시 열어서 편집합니다.
9. 승인된 리디렉션 URI 필드에 다음 문자열을 입력합니다.

   https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

   여기서 CLIENT_ID는 방금 클립보드에 복사한 OAuth 클라이언트 ID입니다.

IAP 액세스 설정

1. Identity-Aware Proxy 페이지로 이동합니다.
   IAP(Identity-Aware Proxy) 페이지로 이동
2. IAP로 보호하려는 프로젝트를 선택합니다.
3. 액세스 권한을 부여할 리소스 옆에 있는 체크박스를 선택합니다.
4. 오른쪽 패널에서 주 구성원 추가를 클릭합니다.
5. 표시된 주 구성원 추가 대화상자에서 프로젝트에 대한 IAP 보안 웹 앱 사용자 역할이 있어야 하는 그룹 또는 개별 사용자의 이메일 주소를 입력합니다.

   다음과 같은 종류의 주 구성원이 이 역할을 가질 수 있습니다.

   • Google 계정: user@gmail.com
   • Google 그룹: admins@googlegroups.com
   • 서비스 계정: server@example.gserviceaccount.com
   • Google Workspace 도메인: example.com

   액세스 권한이 있는 Google 계정을 추가해야 합니다.

6. 역할 드롭다운 목록에서 Cloud IAP > IAP 보안 웹 앱 사용자를 선택합니다.
7. 저장을 클릭합니다.

IAP 사용 설정 중

1. IAP(Identity-Aware Proxy) 페이지의 애플리케이션에서 액세스를 제한하려는 instance group을 제공하는 부하 분산기를 찾습니다. 리소스에 IAP를 사용하려면 IAP 열에서 사용/사용 중지 스위치를 전환합니다.
   IAP를 사용 설정하려면 다음 안내를 따르세요.
   • 부하 분산기 프런트엔드 구성에서 하나 이상의 프로토콜이 HTTPS여야 합니다. 부하 분산기 설정에 대해 자세히 알아보세요.
   • compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.getWithSecret 권한이 필요합니다. 이러한 권한은 프로젝트 편집자 역할과 같은 역할에서 부여합니다. 자세한 내용은 IAP 보안 리소스에 대한 액세스 관리를 참조하세요.
2. 표시되는 IAP 사용 창에서 사용을 클릭하여 IAP가 리소스를 보호할 것임을 확인합니다. IAP를 사용하면 부하 분산기에 대한 모든 연결에 로그인 사용자 인증 정보가 필요합니다. 프로젝트에서 IAP 보안 웹 앱 사용자 역할이 있는 계정만 액세스할 수 있습니다.

Google Cloud SDK를 사용하여 IAP 사용 설정

이 섹션에서는 gcloud 명령줄 도구를 사용하여 Compute Engine 애플리케이션의 IAP를 사용하는 방법에 대해 설명합니다. gcloud 명령줄 도구를 사용하여 App Engine용 IAP를 사용하는 것은 아직 지원되지 않습니다. 대신 App Engine 빠른 시작을 사용하세요.

Google Cloud CLI 설치

프로젝트와 IAP를 설정하려면 최신 버전의 gcloud CLI가 필요합니다. gcloud CLI를 가져옵니다.

프로젝트 설정

IAP를 사용 설정하려는 프로젝트를 선택하고 다음과 같이 설정합니다.

1. 인스턴스 그룹 페이지로 이동하여 인스턴스가 인스턴스 그룹에 있는지 확인합니다.
2. 백엔드 서비스를 정의합니다.
3. 외부 또는 내부 부하 분산을 설정합니다.
4. OAuth 클라이언트를 설정합니다.
   1. API > 사용자 인증 정보로 이동하여 IAP를 사용 설정하려는 프로젝트를 선택합니다.
   2. OAuth 동의 화면을 설정합니다.
      1. OAuth 동의 화면으로 이동합니다.
         동의 화면 구성
      2. 지원 이메일 아래에서 공개 연락처로 표시할 이메일 주소를 선택합니다. 이메일 주소는 현재 로그인한 사용자 계정 또는 현재 로그인한 사용자가 속한 Google 그룹에 속해 있어야 합니다.
      3. 표시하려는 애플리케이션 이름을 입력합니다.
      4. 원하는 선택적인 세부정보를 추가합니다.
      5. 저장을 클릭합니다.

      나중에 제품 이름 또는 이메일 주소와 같은 OAuth 동의 화면의 정보를 변경하려면 앞의 단계를 반복하여 동의 화면을 구성합니다.

   3. 사용자 인증 정보 아래에서 사용자 인증 정보 만들기 > OAuth 클라이언트 ID를 클릭합니다.
   4. 애플리케이션 유형에서 웹 애플리케이션을 선택한 다음 이름을 추가합니다.
   5. 세부정보 입력을 마쳤으면 만들기를 클릭합니다.
   6. 표시된 OAuth 클라이언트 창에서 클라이언트 ID 및 클라이언트 보안 비밀을 기록해둡니다.
   7. 클라이언트를 다시 선택합니다. https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect 형식으로 승인된 리디렉션 URI 필드에 범용 리디렉션 URL을 추가합니다. 여기서 CLIENT_ID는 OAuth 클라이언트 ID입니다.

IAP 사용 설정

1. Google Cloud CLI를 사용하여 gcloud auth login을 실행합니다.
2. 표시된 URL을 따라서 로그인합니다.
3. 로그인한 후에는 표시된 확인 코드를 복사하고 이를 명령줄에 붙여넣습니다.
4. IAP를 사용 설정하려는 프로젝트에 대해 gcloud config set project PROJECT_ID를 실행합니다.
5. IAP를 사용 설정하려면 이전에 만든 OAuth 클라이언트 ID와 보안 비밀을 사용하고 전역 또는 리전 범위 명령어를 실행합니다.
   • 전역 범위: gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
   • 리전 범위: gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

IAP를 사용 설정한 후에는 gcloud 명령줄 도구를 사용하여 IAM 역할 roles/iap.httpsResourceAccessor를 사용하여 IAP 액세스 정책을 조작할 수 있습니다. 역할 및 권한 관리에 대해 자세히 알아보세요.