Google Cloud 는 관리가 용이하고 확장 가능하며 세분화된 방법으로 웹 리소스를 보호하기 위해 IAP(Identity-Aware Proxy)를 통한 컨텍스트 인식 액세스를 제공합니다. IAP는 기존 VPN 없이 안전한 원격 근무를 위해 공용 인터넷에서 제로 트러스트를 경계를 설정하는 BeyondCorp 보안 모델을 적용하도록 설계되었습니다.
IAP가 알고 있는 웹 리소스에 액세스할 때 사용자는 Google ID 서비스 사용자 인증 정보(예: Gmail 또는 Google Workspace 이메일 주소) 또는 Google ID 서비스와 동기화된 LDAP 디렉터리 서비스에 등록된 LDAP로 로그인해야 합니다. 사용자가 승인되면 IAP에서 사용자 ID를 포함한 헤더 데이터와 함께 요청을 웹 서버로 전달합니다.
그림 1. IAP를 통해 웹 리소스에 대한 사용자 액세스를 제어합니다.
Cloud Console에서 IAP를 구성하여 승인되지 않은 사용자가 특정 리소스에 액세스하는 것을 차단할 수 있습니다.
주 구성원 추가를 클릭하고 프로젝트의 IAP 보안 웹 앱 사용자 역할을 부여할 그룹 또는 개별 사용자의 이메일 주소를 추가합니다.
아래 표에는 몇 가지 일반적인 액세스 시나리오와 각 시나리오에 대한 액세스 권한을 부여할 주 구성원이 나와 있습니다.
액세스 수준
웹 리소스 예시
주 구성원 예시
개방형 공개 액세스
회사 공개 웹사이트
allUsers
사용자 인증 액세스
지원 티켓을 제출하는 사이트.
allAuthenticatedUsers
직원 제한 액세스
회사 인트라넷에서 실행되는 앱.
bigcorpltd.comcontractors@bigcorpltd.com
매우 민감한, 기기 및 직원 제한 액세스
고객의 비공개 정보에 액세스할 수 있는 앱.
customer.support@bigcorpltd.com
참고: 이 액세스 수준을 사용하려면 Access Context Manager를 통해 기기 정책 속성 또는 허용된 IP 서브네트워크와 같은 제한 정보를 추가해야 합니다. 또한 사용자는 휴대기기에 직장 프로필이 있거나 브라우저에서 Chrome 확장 프로그램을 설정해야 합니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-08(UTC)"],[],[],null,["# Controlling access to websites and apps\n\nTo secure your web resources in a simple-to-manage, scalable, and granular way,\nGoogle Cloud offers [context-aware access](/context-aware-access/docs/overview)\nvia [Identity-Aware Proxy](/iap) (IAP). IAP is designed to\nenforce the [BeyondCorp](/beyondcorp) security model,\nwhich establishes a zero-trust perimeter on the public internet for secure,\nremote work without the need for a traditional VPN.\n\nYou can allow secure access to your websites or web apps for users located\nanywhere or on any device by using IAP to control granular\nrestrictions. Access control can be configured based on the user's identity and\ncontext of their request without making additional site changes. You can also\ncentrally define and enforce access policies across multiple apps and\nsites, including\n[IAM policies with conditional binding](/iap/docs/cloud-iap-context-aware-access-howto).\nIAP works with other Google Cloud offerings including [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), and [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto).\n\nConfiguring your access levels\n------------------------------\n\nWhen accessing web resources that IAP knows about, users need to log in with their Google identity service credentials (for example, their Gmail or Google Workspace email address) or an LDAP registered with an LDAP directory service that's synchronized with the Google identity service. If the user is authorized, IAP forwards their request to the web server along with header data that includes the user's identity.\n\n**Figure 1.** Controlling user access to web resources behind IAP.\n\nIn the Cloud console, you can configure IAP to simply block\nunauthorized users from accessing a given resource.\n\nTo do so for a resource on App Engine:\n\n1. Open the [Identity-Aware Proxy page](https://console.cloud.google.com/security/iap) in your active project.\n2. Select the resource you want to modify.\n3. Click **Add Principal** and add the email addresses of groups\n or individuals to whom you want to grant the\n **IAP-secured Web App User** role for the project.\n\n The table below lists some common access scenarios and\n the principal to grant access to for each scenario.\n\n4. Click **Add** to save your changes.\n\nNext steps\n----------\n\n- Get started by familiarizing yourself with [IAP concepts](/iap/docs/concepts-overview) and following the [quickstarts](/iap/docs/quickstarts).\n- Learn more by viewing these introductory videos:\n - [BeyondCorp in a bottle](https://www.youtube.com/watch?v=TtmsV-xq0r0)\n - [Centralize access to your organization's websites with Identity-Aware Proxy](https://youtu.be/xM9-FSU5MoY)\n- Check out these tutorials for using IAP with [App Engine standard environment](/iap/docs/authenticate-users-google-accounts), [Compute Engine](/iap/docs/enabling-compute-howto), [Google Kubernetes Engine](/iap/docs/enabling-kubernetes-howto), and [on-premises apps](/iap/docs/enabling-on-prem-howto)."]]