인증

이 페이지에는 Security Command Center, Event Threat Detection, Web Security Scanner용 인증 정보가 포함되어 있습니다.

Security Command Center 인증

이 섹션에서는 Security Command Center에 인증하는 방법을 설명합니다.

지원되는 인증 방법

Security Command Center는 다음 인증 방법을 지원합니다.

서비스 계정

서비스 계정은 로컬에서 개발 중이든 프로덕션 애플리케이션에서 개발 중이든 거의 모든 사용 사례에 권장됩니다. 서비스 계정으로 인증을 설정하는 방법의 예시는 프로그래매틱 방식으로 Security Command Center 액세스를 참조하세요.

프로덕션 애플리케이션을 이용한 인증 설정 방법에 대한 자세한 내용은 서버 간 프로덕션 애플리케이션 인증 설정을 참조하세요.

사용자 계정

애플리케이션이 최종 사용자를 대신하여 리소스에 액세스해야 하는 경우 사용자를 애플리케이션에 직접 인증할 수도 있습니다. 대부분의 사용 사례에서는 서비스 계정을 사용하는 것이 좋습니다.

애플리케이션에 최종 사용자 인증이 사용되는 경우 Security Command Center에 액세스하려면 사용자 계정이 필요합니다. 이 시나리오에서는 메서드 호출을 수행할 때 OAuth 범위를 지정해야 합니다. 메서드별 OAuth 범위는 Security Command Center 참조를 확인하세요.

사용자 계정을 이용한 인증 설정 방법에 대한 자세한 내용은 최종 사용자로 인증을 참조하세요.

Bearer 토큰

cURL로 HTTP 요청을 수행할 때와 같이 Security Command Center API를 직접 호출할 경우 Authorization 헤더에 인증을 Bearer 토큰으로 전달합니다. 서비스 계정을 사용하여 Bearer 토큰을 가져오려면 다음을 수행합니다.

  1. Google Cloud CLI을 설치합니다.
  2. 서비스 계정에 인증합니다.

    gcloud auth activate-service-account --key-file KEY_FILE
    

    여기서 KEY_FILE을 서비스 계정 키 파일 경로로 바꾸세요.

  3. 서비스 계정을 사용하여 승인 토큰을 가져옵니다.

    gcloud auth print-access-token
    

    명령에서 액세스 토큰 값을 반환합니다.

  4. API를 호출할 때 Authorization 헤더에 토큰 값을 bearer 토큰으로 전달합니다.

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      -H 'X-Goog-User-Project: X_GOOG_USER_PROJECT' \
      'https://securitycenter.googleapis.com/PATH'
    

    다음을 바꿉니다.

    • ACCESS_TOKEN: 액세스 토큰입니다.
    • X_GOOG_USER_PROJECT: API 호출과 관련된 요금을 청구할 프로젝트의 ID입니다. 이 프로젝트는 액세스하려는 리소스와 다를 수 있습니다.
    • PATH: 사용할 API 버전, 액세스할 REST 리소스 및 사용할 메서드를 가리키는 HTTP 요청 URL의 부분입니다(예: v1/projects/example-project/sources/example-source-id/findings). 허용되는 형식을 보려면 사용할 메서드의 API 참조 페이지에서 경로 매개변수를 참조하세요.

    다음 예시에서는 organizations.sources.findings.list 메서드를 사용하여 조직의 모든 소스에서 모든 발견 항목을 나열합니다.

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      -H 'X-Goog-User-Project: PROJECT_ID' \
      'https://securitycenter.googleapis.com/v1/organizations/ORGANIZATION_ID/sources/-/findings'
    

    다음 예시에서는 projects.sources.findings.list 메서드를 사용하여 프로젝트의 모든 소스에서 모든 발견 항목을 나열합니다.

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      -H 'X-Goog-User-Project: PROJECT_ID' \
      'https://securitycenter.googleapis.com/v1/projects/PROJECT_ID/sources/-/findings'
    

    Event Threat Detection 인증

이 섹션에서는 Event Threat Detection에 인증하는 방법을 설명합니다.

지원되는 인증 방법

Event Threat Detection은 다음 인증 방법을 지원합니다.

서비스 계정

서비스 계정은 로컬에서 개발 중이든 프로덕션 애플리케이션에서 개발 중이든 거의 모든 사용 사례에 권장됩니다.

프로덕션 애플리케이션을 이용한 인증 설정 방법에 대한 자세한 내용은 서버 간 프로덕션 애플리케이션 인증 설정을 참조하세요.

사용자 계정

애플리케이션이 최종 사용자를 대신하여 리소스에 액세스해야 하는 경우 사용자를 애플리케이션에 직접 인증할 수도 있습니다. 대부분의 사용 사례에서는 서비스 계정을 사용하는 것이 좋습니다.

Event Threat Detection에서 사용자 계정을 사용해야 하는 경우는 다음과 같습니다.

애플리케이션이 최종 사용자 인증을 사용한다면 메서드 호출 시 OAuth 범위를 지정해야 합니다. 메서드별 OAuth 범위는 Security Command Center 참조를 확인하세요.

사용자 계정을 이용한 인증 설정 방법에 대한 자세한 내용은 최종 사용자로 인증을 참조하세요.

Web Security Scanner 인증

이 섹션에서는 Web Security Scanner API를 호출하기 위한 인증 정보를 설명합니다.

지원되는 인증 방법

Web Security Scanner API는 다음 인증 방법을 지원합니다. API를 호출하려면 아래에 설명된 기술을 사용하세요.

서비스 계정

서비스 계정은 로컬에서 개발 중이든 프로덕션 애플리케이션에서 개발 중이든 거의 모든 사용 사례에 권장됩니다.

서비스 계정을 사용하여 Web Security Scanner에 인증하려면 안내에 따라 서비스 계정을 만듭니다. 키 유형으로 JSON을 선택합니다.

서비스 계정을 생성한 후에는 서비스 계정 키가 브라우저의 기본 다운로드 위치로 다운로드됩니다.

Bearer 토큰

cURL로 HTTP 요청을 수행하는 것과 같이 Web Security Scanner API를 직접 호출하는 경우, Authorization 헤더에 인증을 Bearer 토큰으로 전달합니다. 서비스 계정을 사용하여 Bearer 토큰을 가져오려면 다음을 수행합니다.

  1. Google Cloud CLI을 설치합니다.
  2. 서비스 계정에 인증합니다.

    gcloud auth activate-service-account --key-file KEY-FILE
    

    여기서 KEY_FILE을 서비스 계정 키 파일 경로로 바꾸세요.

  3. 서비스 계정을 사용하여 승인 토큰을 가져옵니다.

    gcloud auth print-access-token
    

    명령에서 액세스 토큰 값을 반환합니다.

  4. API를 호출할 때 Authorization 헤더에 토큰 값을 bearer 토큰으로 전달합니다.

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer ACCESS_TOKEN' \
      'https://websecurityscanner.googleapis.com/v1/projects/PROJECT_ID/scanConfigs' \
    

    다음을 바꿉니다.

    • ACCESS_TOKEN은 액세스 토큰입니다.
    • PROJECT_ID은 타겟이 되는 API 버전입니다.

액세스 제어

Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

프로덕션 애플리케이션을 빌드할 때 ID에는 해당 Google Cloud APIs, 기능 또는 리소스와 상호작용하는 데 필요한 권한만 부여됩니다.

다음 단계

  • Google Cloud 인증에 대한 자세한 내용은 인증 가이드를 참조하세요.