Google Cloud에서는 Identity and Access Management(IAM)를 제공하므로 특정 Google Cloud 리소스에 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. 이 페이지에서는 Cloud SQL이 IAM과 통합되는 방법과 데이터베이스 인증에 IAM을 사용하는 방법을 설명합니다. Google Cloud IAM에 대한 자세한 내용은 IAM 문서를 참조하세요.
Cloud SQL은 개발자가 Cloud SQL 리소스에 대한 액세스를 제어할 수 있도록 설계된 사전 정의된 역할 집합을 제공합니다. 사전 정의된 역할이 필요한 권한 집합을 제공하지 않는 경우 자체 커스텀 역할을 만들 수도 있습니다. 또한 Cloud SQL 역할처럼 세부적인 제어 기능을 제공하지는 않지만 기존의 기본 역할(편집자, 뷰어, 소유자)도 계속 제공됩니다. 특히 기본 역할은 Cloud SQL뿐 아니라 Google Cloud 전반의 리소스에 대한 액세스를 제공합니다. 기본 Google Cloud 역할에 대한 자세한 내용은 기본 역할을 참조하세요.
IAM 정책은 조직 수준, 폴더 수준, 프로젝트 수준 등 리소스 계층 구조의 모든 수준에서 설정할 수 있습니다. 리소스는 모든 상위 리소스의 정책을 상속합니다.
Cloud SQL의 IAM 참조
- Google Cloud 콘솔에서 일반적인 작업에 필요한 권한
gcloud sql명령어에 필요한 권한- Cloud SQL Admin API 메서드에 필요한 권한
- 사전 정의된 Cloud SQL IAM 역할
- 권한과 권한의 역할
- 맞춤 역할
IAM 인증 개념
IAM 인증을 사용하는 경우 리소스(Cloud SQL 인스턴스)에 액세스할 수 있는 권한은 최종 사용자에게 직접 부여되지는 않습니다. 대신 권한이 역할로 그룹화되고 역할은 주 구성원에게 부여됩니다. 자세한 내용은 IAM 개요를 참조하세요.
사용자가 IAM 데이터베이스 인증을 통해 로그인하도록 한 관리자는 IAM을 사용하여 IAM 정책을 통해 인스턴스에 대한 액세스 제어를 중앙에서 관리할 수 있습니다. IAM 정책에는 다음 항목이 포함됩니다.
- 주 구성원. Cloud SQL에서 사용자 계정과 서비스 계정(애플리케이션용) 등 두 가지 유형의 주 구성원을 사용할 수 있습니다. IAM 데이터베이스 인증에는 Google 그룹스, Google Workspace 도메인 또는 Cloud ID 도메인과 같은 다른 주 구성원 유형이 지원하지 않습니다. 자세한 내용은 ID와 관련된 개념을 참조하세요.
- 역할. IAM 데이터베이스 인증의 경우 주 구성원이 인스턴스에 로그인하는 데
cloudsql.instances.login권한이 필요합니다. 이 권한을 얻으려면 사용자 또는 서비스 계정을 사전 정의된 Cloud SQL 인스턴스 사용자 역할 또는 권한을 번들로 제공하는 커스텀 역할에 결합합니다. IAM 역할에 대한 자세한 내용은 역할을 참조하세요. - 리소스. 주 구성원이 액세스하는 리소스는 Cloud SQL 인스턴스입니다. 기본적으로 IAM 정책 바인딩은 프로젝트 수준에서 적용되므로 주 구성원이 프로젝트의 모든 Cloud SQL 인스턴스에 대한 역할 권한을 받습니다.
IAM 데이터베이스 인증
Cloud SQL은 Identity and Access Management(IAM)와 통합되어 사용자 및 서비스 계정의 데이터베이스에 대한 액세스를 더 효과적으로 모니터링하고 관리할 수 있습니다. 이 기능을 IAM 데이터베이스 인증이라고 합니다.
인증은 인스턴스에 액세스하려고 하는 사용자의 ID를 확인하는 프로세스입니다. Cloud SQL은 데이터베이스 사용자에게 다음 유형의 인증을 사용합니다.
- 사용자 이름 및 비밀번호를 사용하여 데이터베이스 사용자를 인증하는 데이터베이스의 기본 제공 인증
- IAM 데이터베이스 인증은 IAM을 통해 액세스 토큰을 사용하여 사용자 인증
데이터베이스 인증 옵션 비교
다음 표에서는 Cloud SQL의 다양한 데이터베이스 인증 방법을 비교합니다.
| 기능 | 기본 제공 데이터베이스 인증 | IAM 데이터베이스 인증 |
|---|---|---|
| 인증 방법 | 비밀번호 | 임시 인증 토큰 |
| 네트워크 트래픽 암호화 | SSL 필요 없음 | SSL 필요 |
| 사용자 관리 | 수동 | IAM을 통해 중앙화 |
자동 IAM 데이터베이스 인증과 수동 IAM 데이터베이스 인증 비교
PostgreSQL용 Cloud SQL에는 두 가지 IAM 데이터베이스 인증 옵션, 즉 자동과 수동 옵션이 있습니다.
자동 IAM 데이터베이스 인증
자동 IAM 데이터베이스 인증을 사용하면 Cloud SQL 인증 프록시와 같은 중간 Cloud SQL 커넥터로 액세스 토큰 요청과 관리를 전달할 수 있습니다. 자동 IAM 데이터베이스 인증을 사용할 경우 사용자는 클라이언트의 연결 요청에서 IAM 데이터베이스 사용자 이름만 전달하면 됩니다. 커넥터는 클라이언트를 대신하여 비밀번호 속성에 대한 액세스 토큰 정보를 제출합니다.
자동 IAM 데이터베이스 인증 시 Cloud SQL 커넥터를 사용해야 합니다. Cloud SQL 인증 프록시, Go 커넥터, 자바 커넥터, Python 커넥터에서 지원됩니다.
가장 안전하고 안정적인 환경을 위해 자동 IAM 데이터베이스 인증을 사용하는 것이 좋습니다. IAM 데이터베이스 인증은 수명이 짧고 1시간 동안만 유효한 OAuth 2.0 액세스 토큰을 사용합니다. Cloud SQL 커넥터는 이러한 토큰을 요청하고 새로고침하여 연결 풀링을 사용하는 장기 프로세스 또는 애플리케이션에 안정적인 연결을 제공할 수 있습니다. 자동 IAM 데이터베이스 인증은 수동 인증보다 적극 권장됩니다.
자세한 내용은 자동 IAM 데이터베이스 인증으로 로그인을 참조하세요.
수동 IAM 데이터베이스 인증
수동 IAM 데이터베이스 인증에서는 IAM 주 구성원이 클라이언트 연결 요청에서 비밀번호 속성에 대한 액세스 토큰을 명시적으로 전달해야 합니다. 주 구성원은 먼저 Google Cloud에 로그인하고 IAM에서 액세스 토큰을 명시적으로 요청해야 합니다.
gcloud CLI를 사용하면 데이터베이스에 로그인하는 데 사용되는 Cloud SQL Admin API 범위와 함께 OAuth 2.0 토큰을 명시적으로 요청할 수 있습니다. IAM 데이터베이스 인증을 사용하여 데이터베이스 사용자로 로그인할 때는 이메일 주소를 사용자 이름으로, 액세스 토큰을 비밀번호로 사용합니다. 이 메서드를 데이터베이스에 직접 연결하거나 Cloud SQL 커넥터와 함께 사용할 수 있습니다.
IAM 데이터베이스 인증을 사용한 로그인은 SSL 연결을 통해서만 수행할 수 있습니다.
자세한 내용은 수동 IAM 데이터베이스 인증으로 로그인을 참조하세요.
사용자 및 서비스 계정 관리
IAM 데이터베이스 인증을 사용하여 사용자와 서비스 계정에 인스턴스의 데이터베이스에 대한 액세스 권한을 부여하려면 인스턴스에 사용자와 서비스 계정을 추가해야 합니다. 자세한 내용은 IAM을 사용하는 사용자 또는 서비스 계정 추가를 참조하세요.
Google Cloud 콘솔을 사용하여 사용자나 서비스 계정을 추가하는 경우 Cloud SQL에서 사용자에게 'Cloud SQL 사용자' 역할을 추가하라는 메시지가 표시됩니다. 이 역할은 사용자가 인스턴스에 로그인하는 데 필요합니다.
gcloud 또는 API를 사용하여 사용자를 추가하는 경우 로그인 권한을 수동으로 부여해야 합니다. PostgreSQL GRANT 명령어를 사용하여 데이터베이스 권한을 부여합니다.
Cloud SQL IAM 데이터베이스 인증을 위한 인스턴스 구성
cloudsql.iam_authentication 플래그를 사용하여 인스턴스에서 IAM 데이터베이스 인증을 사용 설정할 수 있습니다. 이 플래그를 사용 설정하면 인스턴스가 IAM 데이터베이스 인증용으로 구성된 계정의 로그인을 사용 설정합니다.
이 플래그를 설정해도 IAM 사용자가 아닌 사용자가 자신의 사용자 이름과 비밀번호를 사용하여 로그인할 수 있습니다. 그러나 인스턴스에서 이 플래그를 사용 중지하면 이전에 IAM 데이터베이스 인증을 사용하여 추가한 모든 사용자가 인스턴스에 액세스할 수 없게 됩니다. 자세한 내용은 IAM 데이터베이스 인증을 위한 인스턴스 구성을 참조하세요.
다양한 인스턴스 시나리오에서 Cloud SQL IAM 데이터베이스 인증
| 읽기 복제본 | IAM 데이터베이스 인증이 기본 인스턴스에서 사용 설정되어 있어도 읽기 복제본에서는 자동으로 사용 설정되지 않습니다. 읽기 복제본을 만든 후에는 IAM 데이터베이스 인증을 추가해야 합니다. 자세한 내용은 IAM 데이터베이스 인증을 위한 읽기 복제본 로그인 구성을 참조하세요. |
| 복원된 인스턴스 | 인스턴스가 이전에 백업되고 나중에 동일한 프로젝트의 동일한 인스턴스 또는 다른 인스턴스로 복원된 경우 현재 사용자 로그인 승인이 적용됩니다. 다른 프로젝트의 새 인스턴스로 백업을 복원하는 경우 새 인스턴스의 사용자 승인을 설정해야 합니다. 자세한 내용은 IAM 데이터베이스 인증을 사용하는 사용자 또는 서비스 계정 추가를 참조하세요. |
IAM 조건 정보
IAM 조건을 사용하여 여러 속성을 기준으로 역할을 부여할 수 있습니다. 예를 들어 특정 날짜 및 시간에만 액세스를 허용하거나 특정 이름의 Cloud SQL 리소스에만 액세스를 부여할 수 있습니다.
IAM 조건에 대한 자세한 내용은 IAM 조건 개요 페이지를 참조하세요. 예시를 포함하여 Cloud SQL에서 IAM 조건을 사용하는 방법을 자세히 알아볼 수도 있습니다.
Cloud 감사 로그 사용
로그인을 포함한 데이터 액세스 기록을 보존하려면 감사 로그를 사용하면 됩니다. Cloud 감사 로그는 기본적으로 사용 중지되어 있습니다. 로그인 추적에 데이터 액세스 감사 로그를 사용 설정해야 합니다. 이러한 용도로 감사 로깅을 사용하면 데이터 로깅 비용이 발생합니다. 자세한 내용은 감사 로그, 데이터 액세스 감사 로그 구성, 데이터 로깅 가격 책정을 참조하세요.
제한사항
- IAM 데이터베이스 인증을 사용하는 로그인은 보안상의 이유로 SSL 연결에서만 사용할 수 있습니다. 암호화되지 않은 연결은 거부됩니다.
- 각 인스턴스의 분 단위 로그인 할당량은 성공한 로그인과 실패한 로그인 정보를 모두 포함합니다. 할당량을 초과하면 로그인을 일시적으로 사용할 수 없습니다. 자주 로그인하지 말고 승인된 네트워크를 사용하여 로그인을 제한하는 것이 좋습니다. 로그인 승인 할당량은 인스턴스별로 분당 12,000입니다.
다음 단계
- IAM 데이터베이스 인증을 위한 인스턴스 구성 방법 알아보기
- 데이터베이스에 IAM 데이터베이스 인증을 사용하는 사용자 또는 서비스 계정을 추가하는 방법 알아보기
- IAM 데이터베이스 인증으로 Cloud SQL 데이터베이스에 로그인하는 방법 알아보기
- 감사 로그에서 로그인 정보를 보는 방법 알아보기