HTTP 대상에 인증 사용

적절한 사용자 인증 정보가 있는 연결된 서비스 계정을 설정하면 Cloud Scheduler에서 인증이 필요한 HTTP 대상을 호출할 수 있습니다.

서비스 계정 설정

서비스 계정은 일반적으로 애플리케이션 또는 컴퓨팅 워크로드에서 사용되며 계정 고유의 이메일 주소로 식별됩니다.

애플리케이션은 서비스 계정 자체로 인증하고 서비스 계정에 액세스 권한이 있는 모든 리소스에 액세스하여 서비스 계정을 사용하여 승인된 API 호출을 실행할 수 있습니다.

애플리케이션이 서비스 계정으로 인증하도록 하는 가장 일반적인 방법은 애플리케이션을 실행하는 리소스에 서비스 계정을 연결하는 것입니다. 그런 다음 서비스 계정에 Identity and Access Management (IAM) 역할을 부여하여 서비스 계정이 Google Cloud 리소스에 액세스하도록 할 수 있습니다.

  1. HTTP 타겟이 있는 Cloud Scheduler 작업에 사용할 서비스 계정이 아직 없으면 새 서비스 계정을 만듭니다. 다음에 유의합니다.

    • 서비스 계정은 Cloud Scheduler 작업이 생성된 프로젝트에 속해야 합니다.

    • Cloud Scheduler 서비스 에이전트(service-PROJECT_NUMBER@gcp-sa-cloudscheduler.iam.gserviceaccount.com)는 사용하지 마세요. 이 용도로 사용할 수 없습니다.

    • 프로젝트의 Cloud Scheduler 서비스 에이전트에서 Cloud Scheduler 서비스 에이전트 역할(roles/cloudscheduler.serviceAgent)을 취소하지 마세요. 삭제하면 작업의 서비스 계정에 적절한 역할이 있더라도 인증이 필요한 엔드포인트에 403 응답이 발생합니다.

  2. 대상이 Google Cloud 내에 있으면 서비스 계정에 필요한 IAM 역할을 부여합니다. Google Cloud 내 각 서비스에는 특정 역할이 필요하며 수신 서비스는 자동으로 생성된 토큰을 확인합니다. 예를 들어 Cloud Run 및 2세대 Cloud Run 함수의 경우 Cloud Run Invoker 역할을 부여해야 합니다.

    서비스 계정을 리소스에 연결하는 데 필요한 권한을 얻으려면 관리자에게 서비스 계정에 대한 서비스 계정 사용자(roles/iam.serviceAccountUser) IAM 역할을 부여해 달라고 요청하세요. 이 사전 정의된 역할에는 서비스 계정을 리소스에 연결하는 데 필요한 iam.serviceAccounts.actAs 권한이 포함되어 있습니다. 서비스 계정을 만든 경우 이 권한이 자동으로 부여됩니다.

    이전 단계에서 Cloud Scheduler 작업이 타겟팅하는 서비스를 호출하기 위해 서비스 계정을 구체적으로 만든 경우 계정 및 호출자 권한을 대상 서비스에 바인딩하여 최소 권한의 원칙을 따를 수 있습니다.

    콘솔

    1. Google Cloud 콘솔의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택합니다.

      프로젝트 선택기로 이동

    2. 호출하려는 리소스 유형의 페이지로 이동합니다. 예를 들어 Cloud Run 서비스를 호출하는 경우 Cloud Run 서비스가 나열된 페이지로 이동합니다.

    3. 호출하려는 서비스 왼쪽에 있는 체크박스를 선택합니다. 서비스 자체를 클릭하지 마세요.

    4. 권한 탭을 클릭합니다.

      정보 창이 표시되지 않으면 정보 패널 표시 > 권한을 클릭해야 할 수 있습니다.

    5. 주 구성원 추가를 클릭합니다.

    6. 새 주 구성원 필드에 만든 서비스 계정의 이메일 주소를 입력합니다.

    7. 역할 선택 목록에서 부여할 역할을 선택합니다.

      주 구성원에 필요한 권한만 포함된 역할을 선택하여 최소 권한의 원칙을 따르세요.

    8. 저장을 클릭합니다.

    gcloud

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
        --member=PRINCIPAL \
        --role=ROLE
    

    다음을 바꿉니다.

    • RESOURCE_TYPE: 대상의 리소스 유형입니다. 예를 들어 Cloud Run 타겟의 경우 run입니다.
    • RESOURCE_ID: 타겟의 식별자입니다. 예를 들어 Cloud Run 타겟의 서비스 이름입니다.
    • PRINCIPAL: 서비스 계정의 식별자입니다. serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS 형식을 사용합니다. 예를 들면 serviceAccount:my-service-account@my-project.iam.gserviceaccount.com입니다.
    • ROLE: 대상 서비스에서 호출하는 데 필요한 역할의 이름입니다. 예를 들어 Cloud Run 또는 2세대 Cloud Run 함수 대상의 경우 roles/run.invoker입니다.
    • 다른 선택적 매개변수는 gcloud 명령줄 참조에 설명되어 있습니다.

    예:

    • Cloud Run 서비스 my-service의 서비스 계정 my-service-account@my-project.iam.gserviceaccount.comCloud Run 호출자(roles/run.invoker) IAM 역할을 부여합니다.

      gcloud run add-iam-policy-binding my-service \
          --member=serviceAccount:my-service-account@my-project.iam.gserviceaccount.com \
          --role=roles/run.invoker
      
    • 2세대 Cloud Run 함수에 필요한 Cloud Run 호출자(roles/run.invoker) IAM 역할을 Cloud Run 함수 my-gen2-function의 서비스 계정 my-service-account@my-project.iam.gserviceaccount.com에 부여합니다.

      gcloud functions add-iam-policy-binding my-gen2-function \
          --member=serviceAccount:my-service-account@my-project.iam.gserviceaccount.com \
          --role=roles/run.invoker \
          --gen2
      
  3. 대상이 Google Cloud 외부에 있으면 수신 서비스가 수동으로 토큰을 확인해야 합니다.

  4. Cloud Scheduler API를 사용 설정하면 기본 Cloud Scheduler 서비스 에이전트가 자동으로 설정됩니다. , 이 2019년 3월 19일 이전에 사용 설정했으면 Cloud Scheduler 서비스 에이전트 역할을 부여해야 합니다. 서비스 계정을 대신하여 대상을 인증하려면 헤더 토큰을 생성할 수 있어야 하기 때문입니다.

인증을 사용하는 Cloud Scheduler 작업 만들기

Cloud Scheduler와 HTTP 대상 간에 인증하도록 Cloud 스케줄러에서 이메일로 식별되는 클라이언트 서비스 계정을 기반으로 헤더 토큰을 만들고 HTTPS를 사용하여 대상으로 보냅니다. ID (OIDC) 토큰 또는 OAuth (액세스) 토큰을 사용할 수 있습니다. 일반적으로 OIDC가 사용되지만 *.googleapis.com에 이러한 API로 호스팅된 Google API에는 예외적으로 OAuth 토큰이 필요합니다.

인증을 사용하는 Cloud Scheduler 작업을 만들려면 작업을 만들 때 토큰 유형과 클라이언트 서비스 계정을 식별하는 이메일 주소를 추가해야 합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Scheduler 페이지로 이동합니다.

    Cloud Scheduler로 이동

  2. 작업 만들기를 클릭합니다.

  3. 이름 필드에 프로젝트에 고유한 작업 이름을 입력합니다. 연결된 작업을 삭제하더라도 프로젝트에서 작업 이름을 다시 사용할 수 없습니다.

  4. 리전 목록에서 작업의 리전을 선택합니다.

  5. 작업의 빈도시간대를 지정합니다. 여기에 제공하는 문자열은 unix-cron 호환 문자열일 수 있습니다.

  6. 계속을 클릭합니다.

  7. 대상 유형 목록에서 HTTP를 선택합니다.

  8. URLHTTP 메서드를 지정합니다.

  9. 인증 헤더 목록에서 토큰 유형을 선택합니다. 일반적으로 OIDC 토큰이 사용되지만 *.googleapis.com에 호스팅된 Google API에는 예외적으로 OAuth 토큰이 필요합니다.

  10. 서비스 계정 목록에서 서비스 계정 이메일을 선택합니다.

  11. 원하는 경우 OIDC 토큰의 수신자를 제한하는 대상을 지정합니다. 일반적으로 URL 매개변수가 없는 작업의 대상 URL입니다. 지정하지 않으면 전체 URL이 요청 매개변수를 포함하여 대상으로 사용됩니다.

  12. 선택적 설정을 구성합니다.

  13. 만들기를 클릭합니다.

gcloud

gcloud scheduler jobs create http JOB_ID \
    --schedule="FREQUENCY" \
    --uri=URI \
    --oidc-service-account-email=SERVICE_ACCOUNT_EMAIL

다음을 바꿉니다.

  • JOB_ID: 프로젝트에 고유한 작업 이름입니다. 연결된 작업을 삭제하더라도 프로젝트에서 작업 이름을 다시 사용할 수 없습니다.
  • FREQUENCY: 작업 간격 또는 작업 실행 빈도입니다(예: every 3 hours 또는 every 10 mins). 여기에 제공하는 문자열은 unix-cron 호환 문자열일 수 있습니다.
  • URI: 엔드포인트의 정규화된 URL
  • SERVICE_ACCOUNT_EMAIL: 서비스 계정의 이메일입니다. 일반적으로 OIDC 토큰이 사용되지만 *.googleapis.com에 호스팅된 Google API에는 예외적으로 OAuth 토큰이 필요합니다. 대신 --oauth-service-account-email 플래그를 사용하여 OAuth 토큰 유형을 정의합니다.
  • 다른 선택적 매개변수는 gcloud 명령줄 참조에 설명되어 있습니다.

Cloud Scheduler 서비스 에이전트 역할 부여

일부 Google Cloud 서비스는 사용자를 대신하여 작업을 실행할 수 있도록 리소스에 대한 액세스 권한이 필요합니다. 이러한 요구사항을 충족하기 위해 Google Cloud는 서비스 에이전트라고 하는 서비스 계정을 만들고 관리합니다. 이 서비스 계정은 Google Cloud 서비스를 사용 설정하고 사용하면 자동으로 생성되고 역할이 부여됩니다.

Cloud Scheduler 서비스 에이전트에는 Cloud Scheduler 서비스 에이전트(roles/cloudscheduler.serviceAgent) 역할이 필요합니다. 이 역할이 없으면 Cloud Scheduler 작업이 실패합니다. 다음 형식의 이메일 주소를 가진 Cloud Scheduler 서비스 에이전트에 역할을 수동으로 부여할 수 있습니다.

service-PROJECT_NUMBER@gcp-sa-cloudscheduler.iam.gserviceaccount.com

다음 중 하나가 해당하는 경우에 역할을 수동으로 부여해야 합니다.

  • 2019년 3월 19일 이전에 Cloud Scheduler API를 사용 설정함
  • 서비스 에이전트에서 Cloud Scheduler 서비스 에이전트 역할을 삭제한 경우

프로젝트의 현재 액세스 권한을 봐서 Cloud Scheduler 서비스 에이전트가 프로젝트에 설정되어 있고 Cloud Scheduler 서비스 에이전트 역할이 부여되어 있는지 확인할 수 있습니다. Google Cloud 콘솔을 사용하여 프로젝트의 액세스 권한을 보는 경우 Google 제공 역할 부여 포함 체크박스를 선택해야 합니다.

서비스 에이전트에 역할을 부여하는 방법을 알아보려면 서비스 에이전트 만들기 및 역할 부여를 참고하세요.

다음 단계

Cloud Scheduler에 프로그래매틱 방식으로 인증하는 방법을 알아봅니다.