이 문서에서는 Google Kubernetes Engine(GKE) 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하고 구성하는 방법을 보여줍니다. GKE용 워크로드 아이덴티티 제휴는 GKE 클러스터의 워크로드가 Google Cloud 서비스에 액세스하기 위해 Identity and Access Management(IAM) 서비스 계정을 가장할 수 있게 해줍니다. GKE용 워크로드 아이덴티티 제휴의 작동 방법과 제한사항에 대한 자세한 내용은 GKE용 워크로드 아이덴티티 제휴를 참조하세요.
시작하기 전에
시작하기 전에 다음 태스크를 수행했는지 확인합니다.
- Google Kubernetes Engine API를 사용 설정합니다. Google Kubernetes Engine API 사용 설정
- 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우
gcloud components update
를 실행하여 최신 버전을 가져옵니다.
IAM Service Account Credentials API를 사용 설정했는지 확인합니다.
다음 IAM 역할이 있는지 확인합니다.
roles/container.admin
roles/iam.serviceAccountAdmin
GKE용 워크로드 아이덴티티 제휴 제한사항을 이해하고 있는지 확인합니다.
GKE용 워크로드 아이덴티티 제휴 사용 설정
Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 클러스터 및 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다. 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 먼저 클러스터 수준에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정해야 합니다.
Autopilot 클러스터는 기본적으로 GKE용 워크로드 아이덴티티 제휴를 사용 설정합니다. GKE용 워크로드 아이덴티티 제휴를 사용하도록 Autopilot 포드를 구성하려면 GKE용 워크로드 아이덴티티 제휴를 사용하도록 애플리케이션 구성으로 건너뜁니다.
새 클러스터 만들기
gcloud CLI 또는 Google Cloud 콘솔을 사용하여 새 Standard 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
새 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음 명령어를 실행합니다.
gcloud container clusters create CLUSTER_NAME \ --region=COMPUTE_REGION \ --workload-pool=PROJECT_ID.svc.id.goog
다음을 바꿉니다.
CLUSTER_NAME
: 새 클러스터의 이름입니다.COMPUTE_REGION
: 클러스터의 Compute Engine 리전입니다. 영역 클러스터의 경우--zone=COMPUTE_ZONE
을 사용합니다.PROJECT_ID
: Google Cloud 프로젝트 ID입니다.
Console
새 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음을 수행합니다.
Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.
add_box만들기를 클릭합니다.
클러스터 만들기 대화상자에서 GKE Standard의 경우 구성을 클릭합니다.
탐색 메뉴의 클러스터 섹션에서 보안을 클릭합니다.
워크로드 아이덴티티 사용 체크박스를 선택합니다.
계속해서 클러스터를 구성한 다음 만들기를 클릭합니다.
기존 클러스터 업데이트
gcloud CLI 또는 Google Cloud 콘솔을 사용하여 기존 Standard 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다. 기존 노드 풀은 영향을 받지 않지만 클러스터의 모든 새 노드 풀은 GKE용 워크로드 아이덴티티 제휴를 사용합니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음 명령어를 실행합니다.
gcloud container clusters update CLUSTER_NAME \ --region=COMPUTE_REGION \ --workload-pool=PROJECT_ID.svc.id.goog
다음을 바꿉니다.
CLUSTER_NAME
: 기존 클러스터의 이름입니다.COMPUTE_REGION
: 클러스터의 Compute Engine 리전입니다. 영역 클러스터의 경우--zone=COMPUTE_ZONE
을 사용합니다.PROJECT_ID
: Google Cloud 프로젝트 ID입니다.
Console
기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음을 수행합니다.
Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.
클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.
클러스터 세부정보 페이지의 보안 섹션에서
GKE용 워크로드 아이덴티티 제휴 수정을 클릭합니다.워크로드 아이덴티티 수정 대화상자에서 워크로드 아이덴티티 사용 설정 체크박스를 선택합니다.
변경사항 저장을 클릭합니다.
GKE용 워크로드 아이덴티티 제휴로 기존 워크로드 마이그레이션
기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정한 후 GKE용 워크로드 아이덴티티 제휴를 사용하도록 실행 중인 워크로드를 마이그레이션할 수 있습니다. 환경에 적합한 마이그레이션 전략을 선택합니다. GKE용 워크로드 아이덴티티 제휴가 사용 설정된 새 노드 풀을 만들거나 기존 노드 풀을 업데이트하여 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다.
GKE용 워크로드 아이덴티티 제휴와 호환되도록 애플리케이션을 수정해야 하는 경우 새 노드 풀을 만드는 것이 좋습니다.
새 노드 풀 만들기
클러스터에 GKE용 워크로드 아이덴티티 제휴가 사용 설정된 경우 새로 만드는 모든 노드 풀은 기본적으로 GKE용 워크로드 아이덴티티 제휴를 사용합니다. GKE용 워크로드 아이덴티티 제휴가 사용 설정된 새 노드 풀을 만들려면 다음 명령어를 실행합니다.
gcloud container node-pools create NODEPOOL_NAME \
--cluster=CLUSTER_NAME \
--region=COMPUTE_REGION \
--workload-metadata=GKE_METADATA
다음을 바꿉니다.
NODEPOOL_NAME
: 새 노드 풀의 이름입니다.CLUSTER_NAME
: GKE용 워크로드 아이덴티티 제휴가 사용 설정된 기존 클러스터의 이름입니다.
--workload-metadata=GKE_METADATA
플래그는 GKE 메타데이터 서버를 사용하도록 노드 풀을 구성합니다. 클러스터에서 GKE용 워크로드 아이덴티티 제휴가 사용 설정되지 않은 경우 노드 풀 만들기가 실패하도록 플래그를 포함하는 것이 좋습니다.
기존 노드 풀 업데이트
클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정한 후 기존 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 수동으로 사용 설정할 수 있습니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
GKE용 워크로드 아이덴티티 제휴를 사용하도록 기존 노드 풀을 수정하려면 다음 명령어를 실행합니다.
gcloud container node-pools update NODEPOOL_NAME \ --cluster=CLUSTER_NAME \ --region=COMPUTE_REGION \ --workload-metadata=GKE_METADATA
클러스터에 GKE용 워크로드 아이덴티티 제휴가 사용 설정된 경우
--workload-metadata=GCE_METADATA
를 명시적으로 지정하여 특정 노드 풀에서 선택적으로 중지할 수 있습니다. 자세한 내용은 클러스터 메타데이터 보호를 참조하세요.
Console
GKE용 워크로드 아이덴티티 제휴를 사용하도록 기존 노드 풀을 수정하려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.
클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.
노드 탭을 클릭합니다.
노드 풀 섹션에서 수정하려는 노드 풀의 이름을 클릭합니다.
노드 풀 세부정보 페이지에서
수정을 클릭합니다.노드 풀 수정 페이지의 보안 섹션에서 GKE 메타데이터 서버 사용 설정 체크박스를 선택합니다.
저장을 클릭합니다.
GKE용 워크로드 아이덴티티 제휴를 사용하도록 애플리케이션 구성
GKE용 워크로드 아이덴티티 제휴를 사용 설정한 후 애플리케이션을 새 노드 풀로 마이그레이션하기 전에 GKE용 워크로드 아이덴티티 제휴를 사용하여 Google Cloud에 인증하도록 애플리케이션을 구성해야 합니다.
애플리케이션에 Kubernetes 서비스 계정을 할당하고 이 Kubernetes 서비스 계정이 IAM 서비스 계정 역할을 하도록 구성해야 합니다.
다음 단계에서는 클러스터에서 GKE용 워크로드 아이덴티티 제휴가 사용 설정된 경우 이를 사용하도록 애플리케이션을 구성하는 방법을 보여줍니다.
클러스터의 사용자 인증 정보를 가져옵니다.
gcloud container clusters get-credentials CLUSTER_NAME \ --region=COMPUTE_REGION
다음을 바꿉니다.
CLUSTER_NAME
: GKE용 워크로드 아이덴티티 제휴가 사용 설정된 클러스터의 이름입니다.COMPUTE_REGION
: 클러스터의 Compute Engine 리전
Kubernetes 서비스 계정에 사용할 네임스페이스를 만듭니다. 기본 네임스페이스 또는 기존 네임스페이스를 사용할 수도 있습니다.
kubectl create namespace NAMESPACE
애플리케이션이 사용할 Kubernetes 서비스 계정을 만듭니다.
default
서비스 계정을 포함하여 모든 네임스페이스에서 기존 Kubernetes 서비스 계정을 사용할 수도 있습니다.kubectl create serviceaccount KSA_NAME \ --namespace NAMESPACE
다음을 바꿉니다.
KSA_NAME
: 새 Kubernetes 서비스 계정의 이름NAMESPACE
: 서비스 계정의 Kubernetes 네임스페이스 이름
애플리케이션에 대해 IAM 서비스 계정을 만들거나 대신 기존 IAM 서비스 계정을 사용합니다. 조직의 모든 프로젝트에서 모든 IAM 서비스 계정을 사용할 수 있습니다. 구성 커넥터의 경우 선택한 서비스 계정에
IAMServiceAccount
객체를 적용합니다.gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
gcloud CLI를 사용하여 새 IAM 서비스 계정을 만들려면 다음 명령어를 실행합니다.
gcloud iam service-accounts create GSA_NAME \ --project=GSA_PROJECT
다음을 바꿉니다.
GSA_NAME
: 새 IAM 서비스 계정의 이름GSA_PROJECT
: IAM 서비스 계정의 Google Cloud 프로젝트 ID입니다.
구성 커넥터
구성 커넥터에서 신규 또는 기존 IAM 서비스 계정을 사용하려면 다음 구성 파일을 적용합니다.
참고: 이 단계에는 구성 커넥터가 필요합니다. 설치 안내를 따라 클러스터에 구성 커넥터를 설치하세요.
이 매니페스트를 배포하려면 머신에service-account.yaml
로 다운로드합니다.kubectl
을 사용하여 매니페스트를 적용합니다.kubectl apply -f service-account.yaml
Google Cloud API에 액세스하도록 IAM 서비스 계정을 승인하는 방법에 대한 자세한 내용은 서비스 계정 이해를 참조하세요.
-
IAM 서비스 계정에 필요한 역할이 있는지 확인합니다. 다음 명령어를 사용하여 추가 역할을 부여할 수 있습니다.
gcloud projects add-iam-policy-binding GSA_PROJECT \ --member "serviceAccount:GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com" \ --role "ROLE_NAME"
다음을 바꿉니다.
GSA_PROJECT
: IAM 서비스 계정의 Google Cloud 프로젝트 IDGSA_NAME
: IAM 서비스 계정의 이름입니다.ROLE_NAME
:roles/spanner.viewer
와 같이 서비스 계정에 할당할 IAM 역할입니다.
Kubernetes 서비스 계정과 IAM 서비스 계정 사이에 IAM 정책 바인딩을 추가하여 Kubernetes 서비스 계정이 IAM 서비스 계정을 가장하도록 허용합니다. 이 binding은 Kubernetes 서비스 계정이 IAM 서비스 계정으로 작동하도록 허용합니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
개발 환경에서 다음 명령어를 실행하세요.
gcloud iam service-accounts add-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
구성 커넥터
참고: 이 단계에는 구성 커넥터가 필요합니다. 설치 안내를 따라 클러스터에 구성 커넥터를 설치하세요.
이 매니페스트를 배포하려면 머신에policy-binding.yaml
로 다운로드합니다.GSA_NAME
,PROJECT_ID
,NAMESPACE
,KSA_NAME
를 사용자 환경에 해당하는 값으로 바꿉니다. 그런 후 다음을 실행합니다.kubectl apply -f policy-binding.yaml
-
Kubernetes 서비스 계정에 IAM 서비스 계정의 이메일 주소를 주석으로 추가합니다.
kubectl
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
개발 환경에서 다음 명령어를 실행하세요.
kubectl annotate serviceaccount KSA_NAME \ --namespace NAMESPACE \ iam.gke.io/gcp-service-account=GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com
yaml
apiVersion: v1 kind: ServiceAccount metadata: annotations: iam.gke.io/gcp-service-account: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com name: KSA_NAME namespace: NAMESPACE
-
GKE용 워크로드 아이덴티티 제휴를 사용하는 노드에서 워크로드를 예약하고 주석이 추가된 Kubernetes 서비스 계정을 사용하도록 포드 사양을 업데이트합니다.
spec: serviceAccountName: KSA_NAME nodeSelector: iam.gke.io/gke-metadata-server-enabled: "true"
클러스터에 업데이트된 구성을 적용합니다.
kubectl apply -f DEPLOYMENT_FILE
DEPLOYMENT_FILE
을 업데이트된 포드 사양의 경로로 바꿉니다.
GKE용 워크로드 아이덴티티 제휴 설정 확인
OS별 컨테이너 이미지를 실행하는 Kubernetes 서비스 계정으로 포드를 만들어 서비스 계정이 올바르게 구성되었는지 확인한 후 대화형 세션으로 연결합니다.
Linux
주석 처리된 Kubernetes 서비스 계정과 curl
service-accounts
엔드포인트를 사용하는 포드를 만듭니다.
다음 구성을
wi-test.yaml
로 저장합니다.apiVersion: v1 kind: Pod metadata: name: workload-identity-test namespace: NAMESPACE spec: containers: - image: google/cloud-sdk:slim name: workload-identity-test command: ["sleep","infinity"] serviceAccountName: KSA_NAME nodeSelector: iam.gke.io/gke-metadata-server-enabled: "true"
google/cloud-sdk
이미지에는 Google Cloud API를 사용할 수 있는 편리한 방법인 Google Cloud CLI가 포함됩니다. 이미지를 다운로드하는 데 다소 시간이 걸릴 수 있습니다.포드를 만듭니다.
kubectl apply -f wi-test.yaml
포드에서 대화형 세션을 엽니다.
kubectl exec -it workload-identity-test \ --namespace NAMESPACE \ -- /bin/bash
포드 내에서 다음 명령어를 실행하여 서비스 계정 이메일을 가져옵니다.
curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email
서비스 계정이 올바르게 구성되었다면 IAM 서비스 계정 이메일 주소가 유일한 활성 ID로 표시됩니다. 이는 기본적으로 포드가 Google Cloud API를 호출할 때 IAM 서비스 계정의 권한으로 작동함을 보여줍니다.
포드 내에서 다음 명령어를 실행하여 토큰을 가져옵니다.
curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token
오류가 반환되면 문제 해결을 참조하세요.
Windows
servercore
컨테이너 이미지를 실행하는 Kubernetes 서비스 계정으로 포드를 만듭니다.
다음 매니페스트를 저장합니다.
apiVersion: v1 kind: Pod metadata: name: workload-identity-test namespace: NAMESPACE spec: containers: - image: IMAGE_NAME name: workload-identity-test command: ["powershell.exe", "sleep", "3600"] serviceAccountName: KSA_NAME nodeSelector: kubernetes.io/os: windows cloud.google.com/gke-os-distribution: windows_ltsc iam.gke.io/gke-metadata-server-enabled: "true"
IMAGE_NAME
을 다음 컨테이너 servercore 이미지 값 중 하나로 바꿉니다.Windows Server 노드 이미지 컨테이너 servercore
이미지WINDOWS_LTSC
,WINDOWS_LTSC_CONTAINERD
mcr.microsoft.com/windows/servercore:ltsc2019
WINDOWS_SAC
,WINDOWS_SAC_CONTAINERD
GKE 노드 버전과 Windows SAC 버전 사이의 버전 매핑을 확인합니다. Windows Server 버전 1909의 경우
mcr.microsoft.com/windows/servercore:1909
를 지정하고, 그렇지 않으면mcr.microsoft.com/windows/servercore:20H2
를 지정합니다.포드에서 대화형 세션을 엽니다.
kubectl exec -it workload-identity-test \ --namespace NAMESPACE -- powershell
포드 내에서 다음 powershell 명령어를 실행하여 서비스 계정 이메일을 가져옵니다.
Invoke-WebRequest -Headers @{"Metadata-Flavor"="Google"} -Uri http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/email -UseBasicParsing
서비스 계정이 올바르게 구성되었다면 IAM 서비스 계정 이메일 주소가 유일한 활성 ID로 표시됩니다. 이는 기본적으로 포드가 Google Cloud API를 호출할 때 IAM 서비스 계정의 권한을 사용함을 보여줍니다.
포드 내에서 다음 명령어를 실행하여 토큰을 가져옵니다.
Invoke-WebRequest -Headers @{"Metadata-Flavor"="Google"} -Uri http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token -UseBasicParsing
오류가 반환되면 문제 해결을 참조하세요.
코드에서 GKE용 워크로드 아이덴티티 제휴 사용
코드에서 Google Cloud 서비스로 인증하는 것은 Compute Engine 메타데이터 서버를 사용하여 인증하는 것과 동일한 프로세스입니다. GKE용 워크로드 아이덴티티 제휴를 사용하면 인스턴스 메타데이터 서버에 대한 요청이 GKE 메타데이터 서버로 라우팅됩니다. 인스턴스 메타데이터 서버를 사용하여 인증하는 기존 코드(예: Google Cloud 클라이언트 라이브러리를 사용하는 코드)는 수정 없이도 작동합니다.
GKE용 워크로드 아이덴티티 제휴로 다른 프로젝트의 할당량 사용
GKE 버전 1.24 이상을 실행하는 클러스터에서 원하는 경우 IAM Service Account Credentials API에서 GenerateAccessToken
및 GenerateIdToken
메서드를 호출할 때 다른 Google Cloud 프로젝트의 할당량을 사용하도록 Kubernetes 서비스 계정을 구성할 수 있습니다. 이렇게 하면 기본 프로젝트에서 전체 할당량을 사용하지 않고 클러스터의 이러한 서비스에 다른 프로젝트의 할당량을 사용할 수 있습니다.
GKE용 워크로드 아이덴티티 제휴로 할당량 프로젝트를 구성하려면 다음 안내를 따르세요.
할당량 프로젝트에 대한
serviceusage.services.use
권한을 Kubernetes 서비스 계정에 부여합니다.gcloud projects add-iam-policy-binding \ --role=roles/serviceusage.serviceUsageConsumer \ --member=serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME] \ QUOTA_PROJECT_ID
QUOTA_PROJECT_ID
를 할당량 프로젝트의 프로젝트 ID로 바꿉니다.할당량 프로젝트로 Kubernetes 서비스 계정에 주석을 추가합니다.
kubectl annotate serviceaccount KSA_NAME \ --namespace NAMESPACE \ iam.gke.io/credential-quota-project=QUOTA_PROJECT_ID
구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.
GKE용 워크로드 아이덴티티 제휴 설정 확인의 안내에 따라 포드를 만들고 셸 세션을 시작합니다.
서비스 계정 토큰 요청을 수행합니다.
curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token
할당량 프로젝트의 Google Cloud 콘솔에서 IAM Service Accounts Credentials API 페이지로 이동합니다.
트래픽 변화를 확인합니다.
삭제
GKE용 워크로드 아이덴티티 제휴 사용을 중지하려면 IAM 서비스 계정에 대한 액세스 권한을 취소하고 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.
액세스 취소
IAM 서비스 계정에 대한 액세스 권한을 취소합니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
개발 환경에서 다음 명령어를 실행하세요.
gcloud iam service-accounts remove-iam-policy-binding GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
다음을 바꿉니다.
PROJECT_ID
: GKE 클러스터의 프로젝트 ID입니다.NAMESPACE
: Kubernetes 서비스 계정이 있는 Kubernetes 네임스페이스의 이름입니다.KSA_NAME
: 액세스 권한이 취소될 Kubernetes 서비스 계정의 이름입니다.GSA_NAME
: IAM 서비스 계정의 이름입니다.GSA_PROJECT
: IAM 서비스 계정의 프로젝트 ID입니다.
구성 커넥터
구성 커넥터를 사용하여 서비스 계정을 만든 경우
kubectl
로 서비스 계정을 삭제합니다.kubectl delete -f service-account.yaml
캐시된 토큰이 만료되기까지 최대 30분이 걸릴 수 있습니다. 다음 명령어로 캐시된 토큰이 만료되었는지 여부를 확인할 수 있습니다.
gcloud auth list
명령어의 결과에 더 이상
GSA_NAME@GSA_PROJECT.iam.gserviceaccount.com
이 포함되지 않으면 캐시된 토큰이 만료된 것입니다.-
Kubernetes 서비스 계정에서 주석을 삭제합니다. IAM에서 액세스 권한을 취소했기 때문에 이 단계는 선택사항입니다.
kubectl annotate serviceaccount KSA_NAME \ --namespace NAMESPACE iam.gke.io/gcp-service-account-
GKE용 워크로드 아이덴티티 제휴 중지
GKE Standard 클러스터에서만 GKE용 워크로드 아이덴티티 제휴를 중지할 수 있습니다.
gcloud
-
Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.
Google Cloud 콘솔 하단에서 Cloud Shell 세션이 시작되고 명령줄 프롬프트가 표시됩니다. Cloud Shell은 Google Cloud CLI가 사전 설치된 셸 환경으로, 현재 프로젝트의 값이 이미 설정되어 있습니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다.
각 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.
gcloud container node-pools update NODEPOOL_NAME \ --cluster=CLUSTER_NAME \ --workload-metadata=GCE_METADATA
클러스터의 모든 노드 풀에 이 명령어를 반복합니다.
클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.
gcloud container clusters update CLUSTER_NAME \ --disable-workload-identity
Console
Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.
클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.
노드 탭을 클릭합니다.
각 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 중지하려면 노드 풀 섹션에서 각 노드 풀에 대해 다음을 수행합니다.
- 수정할 노드 풀의 이름을 클릭합니다.
- 노드 풀 세부정보 페이지에서 수정을 클릭합니다.
- 노드 풀 수정 페이지의 보안 섹션에서 GKE 메타데이터 서버 사용 설정 체크박스를 선택 취소합니다.
- 저장을 클릭합니다.
클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지하려면 다음을 수행합니다.
- 세부정보 탭을 클릭합니다.
- 보안 섹션에서 워크로드 아이덴티티 옆에 있는 수정을 클릭합니다.
- 워크로드 아이덴티티 수정 대화상자에서 워크로드 아이덴티티 사용 설정 체크박스를 선택 취소합니다.
- 변경사항 저장을 클릭합니다.
조직에서 GKE의 워크로드 아이덴티티 제휴 중지
보안 측면에서 GKE용 워크로드 아이덴티티 제휴는 GKE가 Google Cloud 리소스에 인증하고 승인할 수 있는 Kubernetes 서비스 계정 ID를 사용할 수 있도록 허용합니다. 서비스 계정 생성 중지 또는 서비스 계정 키 생성 중지와 같이 워크로드를 Google Cloud 리소스에서 격리하는 작업을 수행한 관리자인 경우, 조직에서 GKE용 워크로드 아이덴티티 제휴도 중지하는 것이 좋습니다.
조직에서 GKE용 워크로드 아이덴티티 제휴를 중지하는 방법에 대한 안내를 참조하세요.
문제 해결
문제 해결 정보는 GKE용 워크로드 아이덴티티 제휴 문제 해결을 참조하세요.
다음 단계
- GKE용 워크로드 아이덴티티 제휴에 대해 자세히 알아보기
- GKE 보안 개요읽기
- 클러스터 메타데이터 보호 알아보기
- IAM 서비스 계정 알아보기