GKE 워크로드에서 Google Cloud API 인증


이 문서에서는 GKE용 워크로드 아이덴티티 제휴를 사용하여 Google Kubernetes Engine(GKE) 클러스터에서 실행되는 워크로드에서 Google Cloud API에 보다 안전하게 액세스하는 방법을 보여줍니다. 자세한 내용은 GKE용 워크로드 아이덴티티 제휴를 참조하세요.

이 페이지는 사용자 권한과 관련된 정책을 만들고 관리하는 ID 및 계정 관리자, 운영자, 개발자를 대상으로 합니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할 및 예시 작업에 대해 자세히 알아보려면 일반 GKE 기업 사용자 역할 및 작업을 참조하세요.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

  • Google Kubernetes Engine API를 사용 설정합니다.
  • Google Kubernetes Engine API 사용 설정
  • 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.

클러스터 및 노드 풀에서 GKE용 워크로드 아이덴티티 제휴 사용 설정

Autopilot에서는 GKE용 워크로드 아이덴티티 제휴가 항상 사용 설정됩니다. GKE용 워크로드 아이덴티티 제휴를 사용하도록 애플리케이션 구성 섹션으로 건너뜁니다.

Standard에서는 Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 클러스터와 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정합니다. 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 먼저 클러스터 수준에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정해야 합니다.

새 클러스터 만들기

gcloud CLI 또는 Google Cloud 콘솔을 사용하여 새 Standard 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 새 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음 명령어를 실행합니다.

    gcloud container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --workload-pool=PROJECT_ID.svc.id.goog
    

    다음을 바꿉니다.

    • CLUSTER_NAME: 새 클러스터의 이름입니다.
    • LOCATION: 클러스터의 Compute Engine 위치입니다.
    • PROJECT_ID: Google Cloud 프로젝트 ID

Console

새 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 만들기를 클릭합니다.

  3. 클러스터 만들기 대화상자에서 GKE Standard의 경우 구성을 클릭합니다.

  4. 탐색 메뉴의 클러스터 섹션에서 보안을 클릭합니다.

  5. 워크로드 아이덴티티 사용 체크박스를 선택합니다.

  6. 계속해서 클러스터를 구성한 다음 만들기를 클릭합니다.

기존 클러스터 업데이트

gcloud CLI 또는 Google Cloud 콘솔을 사용하여 기존 Standard 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다. 기존 노드 풀은 영향을 받지 않지만 클러스터의 모든 새 노드 풀은 GKE용 워크로드 아이덴티티 제휴를 사용합니다.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음 명령어를 실행합니다.

    gcloud container clusters update CLUSTER_NAME \
        --location=LOCATION \
        --workload-pool=PROJECT_ID.svc.id.goog
    

    다음을 바꿉니다.

    • CLUSTER_NAME: 기존 클러스터의 이름
    • LOCATION: 클러스터의 Compute Engine 위치
    • PROJECT_ID: Google Cloud 프로젝트 ID

Console

기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.

  3. 클러스터 세부정보 페이지의 보안 섹션에서 워크로드 아이덴티티 수정을 클릭합니다.

  4. 워크로드 아이덴티티 수정 대화상자에서 워크로드 아이덴티티 사용 설정 체크박스를 선택합니다.

  5. 변경사항 저장을 클릭합니다.

GKE용 워크로드 아이덴티티 제휴로 기존 워크로드 마이그레이션

기존 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정한 후 GKE용 워크로드 아이덴티티 제휴를 사용하도록 실행 중인 워크로드를 마이그레이션할 수 있습니다. 환경에 적합한 마이그레이션 전략을 선택합니다. GKE용 워크로드 아이덴티티 제휴가 사용 설정된 새 노드 풀을 만들거나 기존 노드 풀을 업데이트하여 GKE용 워크로드 아이덴티티 제휴를 사용 설정할 수 있습니다.

GKE용 워크로드 아이덴티티 제휴와 호환되도록 애플리케이션을 수정해야 하는 경우 새 노드 풀을 만드는 것이 좋습니다.

클러스터에 GKE용 워크로드 아이덴티티 제휴가 사용 설정된 경우 새로 만드는 모든 노드 풀은 기본적으로 GKE용 워크로드 아이덴티티 제휴를 사용합니다. GKE용 워크로드 아이덴티티 제휴가 사용 설정된 새 노드 풀을 만들려면 다음 명령어를 실행합니다.

gcloud container node-pools create NODEPOOL_NAME \
    --cluster=CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --workload-metadata=GKE_METADATA

다음을 바꿉니다.

  • NODEPOOL_NAME: 새 노드 풀의 이름입니다.
  • CLUSTER_NAME: GKE용 워크로드 아이덴티티 제휴가 사용 설정된 기존 클러스터의 이름입니다.

--workload-metadata=GKE_METADATA 플래그는 GKE 메타데이터 서버를 사용하도록 노드 풀을 구성합니다. 클러스터에서 GKE용 워크로드 아이덴티티 제휴가 사용 설정되지 않은 경우 노드 풀 만들기가 실패하도록 플래그를 포함하는 것이 좋습니다.

기존 노드 풀 업데이트

클러스터에서 GKE용 워크로드 아이덴티티 제휴를 사용 설정한 후 기존 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 수동으로 사용 설정할 수 있습니다.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. GKE용 워크로드 아이덴티티 제휴를 사용하도록 기존 노드 풀을 수정하려면 다음 명령어를 실행합니다.

    gcloud container node-pools update NODEPOOL_NAME \
        --cluster=CLUSTER_NAME \
        --region=COMPUTE_REGION \
        --workload-metadata=GKE_METADATA
    

    클러스터에 GKE용 워크로드 아이덴티티 제휴가 사용 설정된 경우 --workload-metadata=GCE_METADATA를 명시적으로 지정하여 특정 노드 풀에서 선택적으로 중지할 수 있습니다. 자세한 내용은 클러스터 메타데이터 보호를 참조하세요.

Console

GKE용 워크로드 아이덴티티 제휴를 사용하도록 기존 노드 풀을 수정하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.

  3. 노드 탭을 클릭합니다.

  4. 노드 풀 섹션에서 수정하려는 노드 풀의 이름을 클릭합니다.

  5. 노드 풀 세부정보 페이지에서 수정을 클릭합니다.

  6. 노드 풀 수정 페이지의 보안 섹션에서 GKE 메타데이터 서버 사용 설정 체크박스를 선택합니다.

  7. 저장을 클릭합니다.

GKE용 워크로드 아이덴티티 제휴를 사용하도록 애플리케이션 구성

GKE용 워크로드 아이덴티티 제휴를 사용하여 GKE 애플리케이션이 Google Cloud API에 인증하도록 하려면 특정 API에 대한 IAM 정책을 만듭니다. 이 정책의 주 구성원은 워크로드, 네임스페이스 또는 ServiceAccount에 해당하는 IAM 주 구성원 식별자입니다.

승인 및 주 구성원 구성

  1. 클러스터의 사용자 인증 정보를 가져옵니다.

    gcloud container clusters get-credentials CLUSTER_NAME \
        --location=LOCATION
    

    다음을 바꿉니다.

    • CLUSTER_NAME: GKE용 워크로드 아이덴티티 제휴가 사용 설정된 클러스터의 이름
    • LOCATION: 클러스터의 위치
  2. Kubernetes 서비스 계정에 사용할 네임스페이스를 만듭니다. default 네임스페이스 또는 기존 네임스페이스를 사용할 수도 있습니다.

    kubectl create namespace NAMESPACE
    
  3. 애플리케이션이 사용할 Kubernetes ServiceAccount를 만듭니다. 또한 모든 네임스페이스에서 기존 Kubernetes ServiceAccount를 사용할 수 있습니다. ServiceAccount를 워크로드에 할당하지 않으면 Kubernetes가 네임스페이스에서 default ServiceAccount를 할당합니다.

    kubectl create serviceaccount KSA_NAME \
        --namespace NAMESPACE
    

    다음을 바꿉니다.

    • KSA_NAME: 새 Kubernetes ServiceAccount의 이름
    • NAMESPACE: ServiceAccount의 Kubernetes 네임스페이스 이름
  4. Kubernetes ServiceAccount를 참조하는 IAM 허용 정책을 만듭니다. 애플리케이션에서 액세스해야 하는 특정 Google Cloud 리소스에 대한 권한을 부여하는 것이 좋습니다. 프로젝트에 허용 정책을 만들려면 관련 IAM 권한이 있어야 합니다.

    예를 들어 다음 명령어는 만든 ServiceAccount에 Kubernetes Engine 클러스터 뷰어(roles/container.clusterViewer) 역할을 부여합니다.

    gcloud projects add-iam-policy-binding projects/PROJECT_ID \
        --role=roles/container.clusterViewer \
        --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME \
        --condition=None
    

    다음을 바꿉니다.

    • PROJECT_ID: Google Cloud 프로젝트 ID
    • PROJECT_NUMBER: 숫자형 Google Cloud 프로젝트 번호

    IAM 허용 정책을 지원하는 모든 Google Cloud 리소스에 대한 역할을 부여할 수 있습니다. 주 구성원 식별자 구문은 Kubernetes 리소스에 따라 다릅니다. 지원되는 식별자 목록은 GKE용 워크로드 아이덴티티 제휴의 주 구성원 식별자를 참조하세요.

GKE용 워크로드 아이덴티티 제휴 설정 확인

이 섹션에서는 Cloud Storage 버킷을 만들고 이전 섹션에서 만든 Kubernetes ServiceAccount에 버킷에 대한 보기 액세스 권한을 부여합니다. 그런 다음 워크로드를 배포하고 컨테이너가 프로젝트의 클러스터를 나열할 수 있는지 테스트합니다.

  1. 빈 Cloud Storage 버킷을 만듭니다.

    gcloud storage buckets create gs://BUCKET
    

    BUCKET을 새 버킷의 이름으로 바꿉니다.

  2. 만든 ServiceAccount에 스토리지 객체 뷰어(roles/storage.objectViewer) 역할을 부여합니다.

    gcloud storage buckets add-iam-policy-binding gs://BUCKET \
        --role=roles/storage.objectViewer \
        --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME \
        --condition=None
    

    다음을 바꿉니다.

    • PROJECT_ID: Google Cloud 프로젝트 ID
    • PROJECT_NUMBER: 숫자형 Google Cloud 프로젝트 번호
    • NAMESPACE: ServiceAccount가 포함된 Kubernetes 네임스페이스
    • KSA_NAME: ServiceAccount의 이름
  3. 다음 매니페스트를 test-app.yaml로 저장합니다.

    apiVersion: v1
    kind: Pod
    metadata:
      name: test-pod
      namespace: NAMESPACE
    spec:
      serviceAccountName: KSA_NAME
      containers:
      - name: test-pod
        image: google/cloud-sdk:slim
        command: ["sleep","infinity"]
        resources:
          requests:
            cpu: 500m
            memory: 512Mi
            ephemeral-storage: 10Mi
    
  4. Standard 클러스터에서만 다음을 template.spec 필드에 추가하여 GKE용 워크로드 아이덴티티 제휴를 사용하는 노드 풀에 포드를 배치합니다.

    모든 노드가 GKE용 워크로드 아이덴티티 제휴를 사용하므로 이 nodeSelector를 거부하는 Autopilot 클러스터에서 이 단계를 건너뜁니다.

    spec:
      nodeSelector:
        iam.gke.io/gke-metadata-server-enabled: "true"
    
  5. 클러스터에 구성을 적용합니다.

    kubectl apply -f test-app.yaml
    
  6. 포드가 준비될 때까지 기다립니다. 포드 상태를 확인하려면 다음 명령어를 실행합니다.

    kubectl get pods --namespace=NAMESPACE
    

    포드가 준비되었으면 출력이 다음과 비슷합니다.

    NAME       READY   STATUS    RESTARTS   AGE
    test-pod   1/1     Running   0          5m27s
    
  7. 포드에서 셸 세션을 엽니다.

    kubectl exec -it pods/test-pod --namespace=NAMESPACE -- /bin/bash
    
  8. 버킷의 객체 목록을 가져옵니다.

    curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        "https://storage.googleapis.com/storage/v1/b/BUCKET/o"
    

    출력은 다음과 같습니다.

    {
      "kind": "storage#objects"
    }
    

    이 출력은 포드가 버킷의 객체에 액세스할 수 있음을 보여줍니다.

대안: Kubernetes ServiceAccount를 IAM에 연결

IAM 주 구성원 식별자를 사용하여 GKE용 워크로드 아이덴티티 제휴를 구성하는 것이 좋습니다. 하지만 이 제휴 ID에는 지원되는 Google Cloud API마다 특정 제한사항이 있습니다. 제한사항 목록은 지원되는 제품 및 제한사항을 참조하세요.

이러한 제한사항이 적용되는 경우 다음 단계를 수행하여 GKE 워크로드에서 이러한 API에 대한 액세스를 구성합니다.

  1. Kubernetes 네임스페이스를 만듭니다.

    kubectl create namespace NAMESPACE
    
  2. Kubernetes ServiceAccount를 만듭니다.

    kubectl create serviceaccount KSA_NAME \
        --namespace=NAMESPACE
    
  3. IAM 서비스 계정을 만듭니다. 또한 조직의 프로젝트에 있는 기존 IAM 서비스 계정을 사용할 수 있습니다.

    gcloud iam service-accounts create IAM_SA_NAME \
        --project=IAM_SA_PROJECT_ID
    

    다음을 바꿉니다.

    • IAM_SA_NAME: IAM 서비스 계정의 이름
    • IAM_SA_PROJECT_ID: IAM 서비스 계정의 프로젝트 ID

    Google Cloud API에 액세스하도록 IAM 서비스 계정을 승인하는 방법에 대한 자세한 내용은 서비스 계정 이해를 참조하세요.

  4. IAM 서비스 계정에 특정 Google Cloud API에 필요한 역할을 부여합니다.

    gcloud projects add-iam-policy-binding IAM_SA_PROJECT_ID \
        --member "serviceAccount:IAM_SA_NAME@IAM_SA_PROJECT_ID.iam.gserviceaccount.com" \
        --role "ROLE_NAME"
    

    ROLE_NAME을 역할 이름으로 바꿉니다(예: roles/spanner.viewer).

  5. Kubernetes ServiceAccount에 IAM 서비스 계정을 가장할 수 있는 액세스 권한을 부여하는 IAM 허용 정책을 만듭니다.

    gcloud iam service-accounts add-iam-policy-binding IAM_SA_NAME@IAM_SA_PROJECT_ID.iam.gserviceaccount.com \
        --role roles/iam.workloadIdentityUser \
        --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE/KSA_NAME]"
    

    구성원 이름에는 네임스페이스와 Kubernetes ServiceAccount 이름이 포함되어야 합니다. 예를 들면 serviceAccount:example-project.svc.id.goog[example-namespace/example-serviceaccount]입니다.

  6. GKE에 서비스 계정 간의 링크가 표시되도록 Kubernetes ServiceAccount에 주석을 추가합니다.

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE \
        iam.gke.io/gcp-service-account=IAM_SA_NAME@IAM_SA_PROJECT_ID.iam.gserviceaccount.com
    

코드에서 GKE용 워크로드 아이덴티티 제휴 사용

코드에서 Google Cloud 서비스로 인증하는 것은 Compute Engine 메타데이터 서버를 사용하여 인증하는 것과 동일한 프로세스입니다. GKE용 워크로드 아이덴티티 제휴를 사용하면 인스턴스 메타데이터 서버에 대한 요청이 GKE 메타데이터 서버로 라우팅됩니다. 인스턴스 메타데이터 서버를 사용하여 인증하는 기존 코드(예: Google Cloud 클라이언트 라이브러리를 사용하는 코드)는 수정 없이도 작동합니다.

GKE용 워크로드 아이덴티티 제휴로 다른 프로젝트의 할당량 사용

GKE 버전 1.24 이상을 실행하는 클러스터에서 원하는 경우 IAM Service Account Credentials API에서 GenerateAccessTokenGenerateIdToken 메서드를 호출할 때 다른 Google Cloud 프로젝트의 할당량을 사용하도록 Kubernetes 서비스 계정을 구성할 수 있습니다. 이렇게 하면 기본 프로젝트에서 전체 할당량을 사용하지 않고 클러스터의 이러한 서비스에 다른 프로젝트의 할당량을 사용할 수 있습니다.

GKE용 워크로드 아이덴티티 제휴로 할당량 프로젝트를 구성하려면 다음 안내를 따르세요.

  1. 할당량 프로젝트에 대한 serviceusage.services.use 권한을 Kubernetes 서비스 계정에 부여합니다.

    gcloud projects add-iam-policy-binding QUOTA_PROJECT_ID \
        --role=roles/serviceusage.serviceUsageConsumer \
        --member='principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME' \
    

    QUOTA_PROJECT_ID를 할당량 프로젝트의 프로젝트 ID로 바꿉니다.

  2. 할당량 프로젝트로 Kubernetes 서비스 계정에 주석을 추가합니다.

    kubectl annotate serviceaccount KSA_NAME \
        --namespace NAMESPACE \
        iam.gke.io/credential-quota-project=QUOTA_PROJECT_ID
    

구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.

  1. 포드를 만들고 셸 세션을 시작합니다. 실행 중인 컨테이너에 셸 가져오기에 대한 Kubernetes 문서를 참조하세요.

  2. 요청을 메타데이터 서버에 보냅니다.

    curl -H "Metadata-Flavor: Google" http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token
    
  3. 할당량 프로젝트의 Google Cloud 콘솔에서 IAM Service Accounts Credentials API 페이지로 이동합니다.

    API로 이동

  4. 트래픽 변화를 확인합니다.

삭제

GKE용 워크로드 아이덴티티 제휴 사용을 중지하려면 IAM 서비스 계정에 대한 액세스 권한을 취소하고 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.

액세스 취소

주 구성원에 대한 액세스 권한을 취소하려면 GKE용 워크로드 아이덴티티 제휴를 사용하도록 애플리케이션 구성 섹션에서 만든 IAM 허용 정책을 삭제합니다.

예를 들어 Artifact Registry 저장소에 대한 액세스 권한을 취소하려면 다음 명령어를 실행합니다.

gcloud artifacts repositories remove-iam-policy-binding REPOSITORY_NAME \
    --location=REPOSITORY_LOCATION \
    --member='principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME' \
    --role='roles/artifactregistry.reader' \
    --all

GKE용 워크로드 아이덴티티 제휴 중지

Standard 클러스터에서만 GKE용 워크로드 아이덴티티 제휴를 중지할 수 있습니다.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 각 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.

    gcloud container node-pools update NODEPOOL_NAME \
        --cluster=CLUSTER_NAME \
        --workload-metadata=GCE_METADATA
    

    클러스터의 모든 노드 풀에 이 명령어를 반복합니다.

  3. 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지합니다.

    gcloud container clusters update CLUSTER_NAME \
        --disable-workload-identity
    

Console

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 클러스터 목록에서 수정하려는 클러스터 이름을 클릭합니다.

  3. 노드 탭을 클릭합니다.

  4. 각 노드 풀에서 GKE용 워크로드 아이덴티티 제휴를 중지하려면 노드 풀 섹션에서 각 노드 풀에 대해 다음을 수행합니다.

    1. 수정할 노드 풀의 이름을 클릭합니다.
    2. 노드 풀 세부정보 페이지에서 수정을 클릭합니다.
    3. 노드 풀 수정 페이지의 보안 섹션에서 GKE 메타데이터 서버 사용 설정 체크박스를 선택 취소합니다.
    4. 저장을 클릭합니다.
  5. 클러스터에서 GKE용 워크로드 아이덴티티 제휴를 중지하려면 다음을 수행합니다.

    1. 세부정보 탭을 클릭합니다.
    2. 보안 섹션에서 워크로드 아이덴티티 옆에 있는 수정을 클릭합니다.
    3. 워크로드 아이덴티티 수정 대화상자에서 워크로드 아이덴티티 사용 설정 체크박스를 선택 취소합니다.
    4. 변경사항 저장을 클릭합니다.

조직에서 GKE용 워크로드 아이덴티티 제휴 중지

보안 측면에서 GKE용 워크로드 아이덴티티 제휴는 GKE가 Google Cloud 리소스에 인증하고 승인할 수 있는 Kubernetes 서비스 계정 ID를 사용할 수 있도록 허용합니다. 서비스 계정 만들기 중지 또는 서비스 계정 키 만들기 중지와 같이 워크로드를 Google Cloud 리소스에서 격리하는 작업을 수행한 관리자라면 조직에서 GKE용 워크로드 아이덴티티 제휴도 중지하려 할 수 있습니다.

조직에서 GKE용 워크로드 아이덴티티 제휴를 중지하는 방법에 대한 안내를 참조하세요.

문제 해결

문제 해결 정보는 GKE용 워크로드 아이덴티티 제휴 문제 해결을 참조하세요.

다음 단계