IAM 인증

Google Cloud에서는 Identity and Access Management(IAM)를 제공하므로 특정 Google Cloud 리소스에 액세스 권한을 부여하고 다른 리소스에 대한 무단 액세스를 방지할 수 있습니다. 이 페이지에서는 Cloud SQL이 IAM과 통합되는 방법과 IAM을 사용하여 Cloud SQL 리소스에 대한 액세스를 관리하고 데이터베이스 인증을 수행하는 방법을 설명합니다. Google Cloud IAM에 대한 자세한 내용은 IAM 문서를 참조하세요.

Cloud SQL은 개발자가 Cloud SQL 리소스에 대한 액세스를 제어할 수 있도록 설계된 사전 정의된 역할 집합을 제공합니다. 사전 정의된 역할에 필요한 권한 집합이 없는 경우에는 자체 커스텀 역할을 만들 수도 있습니다. 또한 Cloud SQL 역할처럼 세부적인 제어 기능을 제공하지는 않지만 기존의 기본 역할(편집자, 뷰어, 소유자)도 계속 제공됩니다. 특히 기본 역할은 Cloud SQL뿐 아니라 Google Cloud 전반의 리소스에 대한 액세스를 제공합니다. 기본 Google Cloud 역할에 대한 자세한 내용은 기본 역할을 참조하세요.

IAM 정책은 조직 수준, 폴더 수준, 프로젝트 수준 등 리소스 계층 구조의 모든 수준에서 설정할 수 있습니다. 리소스는 모든 상위 리소스의 정책을 상속합니다.

Cloud SQL의 IAM 참조

IAM 인증 개념

IAM 인증을 사용하는 경우 리소스(Cloud SQL 인스턴스)에 액세스할 수 있는 권한은 최종 사용자에게 직접 부여되지는 않습니다. 대신 권한이 역할로 그룹화되고 역할은 주 구성원에게 부여됩니다. 자세한 내용은 IAM 개요를 참조하세요.

사용자가 IAM 데이터베이스 인증을 통해 로그인하도록 한 관리자는 IAM 인증을 사용하여 IAM 정책을 통해 인스턴스에 대한 액세스 제어를 중앙에서 관리할 수 있습니다.

IAM 정책에는 다음 항목이 포함됩니다.

  • 주 구성원. Cloud SQL에서는 사용자 계정, 서비스 계정(애플리케이션용), 그룹 등 여러 가지 주 구성원 유형을 사용할 수 있습니다. 자세한 내용은 ID와 관련된 개념을 참조하세요.
  • 역할. 역할은 권한 모음입니다. 주 구성원에게 역할을 부여하여 특정 태스크를 완료하는 데 필요한 권한을 부여할 수 있습니다. 예를 들어 IAM 데이터베이스 인증에서 주 구성원이 인스턴스에 로그인하려면 cloudsql.instances.login 권한이 필요합니다. 이 권한은 Cloud SQL 인스턴스 사용자 역할에 포함되어 있습니다. 권한을 얻으려면 사용자, 서비스 계정, 그룹을 사전 정의된 Cloud SQL 역할 또는 권한이 포함된 커스텀 역할에 결합합니다. IAM 역할에 대한 자세한 내용은 역할을 참조하세요.
  • 리소스. 주 구성원이 액세스하는 리소스는 Cloud SQL 인스턴스입니다. 기본적으로 IAM 정책 바인딩은 프로젝트 수준에서 적용되므로 주 구성원이 프로젝트의 모든 Cloud SQL 인스턴스에 대한 역할 권한을 받습니다.

IAM 데이터베이스 인증

데이터베이스 인증은 데이터베이스에 액세스하려는 사용자의 ID를 확인하는 프로세스입니다. Cloud SQL에서는 데이터베이스 사용자에게 다음 유형의 데이터베이스 인증을 사용할 수 있습니다.

  • 사용자 이름 및 비밀번호를 사용하여 데이터베이스 사용자를 인증하는 데이터베이스의 기본 제공 인증
  • IAM 데이터베이스 인증은 IAM을 통해 액세스 토큰을 사용하여 사용자 인증

데이터베이스 인증 옵션 비교

다음 표에서는 Cloud SQL의 다양한 데이터베이스 인증 방법을 비교합니다.

기능 기본 제공 데이터베이스 인증 IAM 데이터베이스 인증(개별) IAM 그룹 인증
인증 방법 비밀번호 임시 인증 토큰 임시 인증 토큰
네트워크 트래픽 암호화 SSL 필요 없음 SSL 필요 SSL 필요
사용자 관리 수동 IAM을 통한 중앙 집중식 IAM 및 Cloud ID 그룹을 통한 중앙 집중식

IAM 그룹 인증

IAM 그룹 인증을 사용하면 그룹 수준에서 Cloud SQL 사용자를 관리할 수 있습니다. 그룹의 예로는 Cloud ID 그룹이 포함되어 있습니다. 이 기능을 사용하면 데이터베이스 사용자 관리가 간소화됩니다. 각 사용자 또는 서비스 계정을 개별적으로 업데이트할 필요 없이 여러 계정의 Cloud SQL IAM 역할 또는 권한을 한 번에 관리할 수 있습니다. Cloud ID 그룹에 대한 데이터베이스 권한을 부여하고 취소할 수도 있습니다. Cloud ID 그룹에 추가하는 새 계정은 해당 그룹의 권한을 상속받습니다.

IAM 그룹 인증을 사용하면 다음 작업을 할 수 있습니다.

  • 사용자를 그룹에 추가하고 사용자가 IAM 역할 및 데이터베이스 권한을 자동으로 상속하도록 합니다.
  • 그룹에서 사용자를 삭제하여 Cloud SQL 데이터베이스에서 로그인 액세스 및 데이터베이스 권한을 삭제합니다.
  • 동일한 권한을 여러 사용자에게 여러 번 부여할 필요 없이 그룹에 로그인 또는 데이터베이스 권한을 한 번만 부여합니다.
  • 그룹의 데이터베이스 객체에 대한 로그인 권한이나 액세스 권한을 한 번에 모두 삭제합니다.

IAM 역할 및 권한이 그룹 수준에서 할당되더라도, 사용자 및 서비스 계정은 공유된 그룹 계정이 아니라 자신의 개별 IAM 계정 및 사용자 인증 정보를 사용하여 로그인합니다. Cloud SQL은 처음 로그인한 후 해당 사용자 또는 서비스 계정의 인스턴스에 데이터베이스 계정을 만듭니다.

각 사용자 또는 서비스 계정의 개별 로그인 및 데이터베이스 활동이 감사 로그에 표시됩니다. 감사 용도로 데이터베이스에서 어떤 계정이 어떤 작업을 수행했는지 확인할 수 있는 이점이 있습니다.

Cloud ID 그룹을 사용하는 방법에 관한 자세한 내용은 Cloud ID 개요를 참조하세요.

그룹에 사용자 또는 서비스 계정을 추가하면 Cloud SQL에서 다음과 같은 변경사항이 발생합니다.

  • 그룹에 IAM 로그인 권한을 이미 부여한 경우 사용자 또는 서비스 계정이 그룹에 속하므로 사용자 또는 서비스 계정이 Cloud SQL 인스턴스에 로그인할 수 있게 됩니다.
  • 사용자는 그룹에 부여된 모든 데이터베이스 권한을 자동으로 상속합니다.

그룹에서 사용자 또는 서비스 계정을 삭제하면 Cloud SQL에서 다음과 같은 변경사항이 발생합니다.

  • 사용자는 그룹의 구성원으로서 이전에 상속한 데이터베이스 권한을 상실합니다.
  • 사용자가 다른 그룹 멤버십을 통해 Cloud SQL 인스턴스에 대한 IAM 로그인 권한을 받으면 계속 로그인할 수 있습니다. 하지만 사용자는 로그인 시 이전 그룹 멤버십의 데이터베이스 권한을 갖지 않습니다.

IAM 그룹 인증 권장사항

  • Cloud ID에서 IAM 그룹의 로그인 권한(cloudsql.instances.login)을 취소할 때는 Cloud SQL 인스턴스에서도 그룹을 삭제해야 합니다.
  • Cloud ID에서 그룹을 삭제할 때는 Cloud SQL 인스턴스에서도 그룹을 삭제해야 합니다.
  • 그룹을 사용하여 데이터베이스에서 역할 기반 액세스 제어를 구성합니다. 항상 그룹에 필요한 최소 권한만 부여합니다.
  • 기본 제공되는 사용자에게 IAM 그룹 인증 역할을 부여하지 마세요. 예를 들어 기본 제공 사용자 user-a가 있고 IAM 그룹 인증 사용자 user-b@example.com을 만드는 경우 user-auser-b@example.com 역할을 부여하지 마세요.

IAM 그룹 인증 제한사항

  • IAM 그룹 인증을 사용할 때 읽기 복제본이 있는 Cloud SQL 인스턴스가 있는 경우 읽기 복제본 인스턴스에 로그인하기 전에 먼저 기본 인스턴스에 로그인해야 합니다. 기본 인스턴스에 처음 로그인하면 그룹 사용자 정보가 읽기 복제본에 복제됩니다. 이후 로그인 시에는 읽기 복제본에 직접 로그인할 수 있습니다.
  • 인스턴스에 IAM 그룹을 최대 200개까지 추가할 수 있습니다.
  • 동일한 인스턴스의 그룹에 속한 개별 IAM 사용자 또는 서비스 계정은 추가할 수 없습니다. 즉, CLOUD_IAM_USER 또는 CLOUD_IAM_SERVICE_ACCOUNT 유형의 동일한 계정이 이미 있으면 CLOUD_IAM_GROUP_USER 또는 CLOUD_IAM_GROUP_SERVICE_ACCOUNT 유형의 계정을 추가할 수 없습니다.
  • 인스턴스에 CLOUD_IAM_USER 또는 CLOUD_IAM_SERVICE_ACCOUNT 유형의 개인 계정이 이미 있으면 이 계정을 IAM 그룹 인증에 사용할 수 없습니다. 이러한 사용자 유형은 그룹에서 IAM 역할 및 데이터베이스 권한을 상속하지 않습니다.

    이 문제를 해결하고 IAM 그룹 인증으로 계정을 사용하려면 개별 IAM 사용자 또는 서비스 계정을 삭제합니다.

    자세한 내용은 기존 IAM 사용자 또는 서비스 계정이 그룹에 부여된 데이터베이스 권한을 상속하지 않음을 참조하세요.
  • 계정 추가와 같은 Cloud ID 그룹 멤버십 변경사항은 전파되는 데 약 15분 정도 걸립니다. IAM 변경에 필요한 시간 외에 추가로 소요되는 시간입니다.

자동 IAM 데이터베이스 인증과 수동 IAM 데이터베이스 인증 비교

PostgreSQL용 Cloud SQL에는 두 가지 IAM 데이터베이스 인증 옵션, 즉 자동과 수동 옵션이 있습니다.

자동 IAM 데이터베이스 인증

자동 IAM 데이터베이스 인증을 사용하면 Cloud SQL 인증 프록시 또는 Cloud SQL 언어 커넥터 중 하나와 같은 중개 Cloud SQL 커넥터로 액세스 토큰 요청과 관리를 전달할 수 있습니다. 자동 IAM 데이터베이스 인증을 사용할 경우 사용자는 클라이언트의 연결 요청에서 IAM 데이터베이스 사용자 이름만 전달하면 됩니다. 커넥터는 클라이언트를 대신하여 비밀번호 속성에 대한 액세스 토큰 정보를 제출합니다.

자동 IAM 데이터베이스 인증을 사용하려면 Cloud SQL 커넥터를 사용해야 하며 Cloud SQL 인증 프록시, Go 커넥터, Java 커넥터, Python 커넥터에서 지원됩니다.

가장 안전하고 안정적인 환경을 위해 자동 IAM 데이터베이스 인증을 사용하는 것이 좋습니다. IAM 데이터베이스 인증은 수명이 짧고 1시간 동안만 유효한 OAuth 2.0 액세스 토큰을 사용합니다. Cloud SQL 커넥터는 이러한 토큰을 요청하고 새로고침하여 연결 풀링을 사용하는 장기 프로세스 또는 애플리케이션에 안정적인 연결을 제공할 수 있습니다. 자동 IAM 데이터베이스 인증은 수동 인증보다 적극 권장됩니다.

자세한 내용은 자동 IAM 데이터베이스 인증으로 로그인을 참조하세요.

수동 IAM 데이터베이스 인증

수동 IAM 데이터베이스 인증에서는 IAM 주 구성원이 클라이언트 연결 요청에서 비밀번호 속성에 대한 액세스 토큰을 명시적으로 전달해야 합니다. 주 구성원은 먼저 Google Cloud에 로그인하고 IAM에서 액세스 토큰을 명시적으로 요청해야 합니다.

gcloud CLI를 사용하면 데이터베이스에 로그인하는 데 사용되는 Cloud SQL Admin API 범위와 함께 OAuth 2.0 토큰을 명시적으로 요청할 수 있습니다. IAM 데이터베이스 인증을 사용하여 데이터베이스 사용자로 로그인할 때는 이메일 주소를 사용자 이름으로, 액세스 토큰을 비밀번호로 사용합니다. 이 메서드를 데이터베이스에 직접 연결하거나 Cloud SQL 커넥터와 함께 사용할 수 있습니다.

IAM 데이터베이스 인증을 사용한 로그인은 SSL 연결을 통해서만 수행할 수 있습니다.

자세한 내용은 수동 IAM 데이터베이스 인증으로 로그인을 참조하세요.

사용자 및 서비스 계정 관리

IAM 데이터베이스 인증을 사용하여 사용자와 서비스 계정에 인스턴스의 데이터베이스에 대한 액세스 권한을 부여하려면 사용자와 서비스 계정을 인스턴스에 추가하거나 인스턴스에 액세스할 수 있는 그룹에 추가해야 합니다. 자세한 내용은 IAM을 사용하는 사용자 또는 서비스 계정 추가를 참조하세요.

Google Cloud 콘솔을 사용하여 사용자나 서비스 계정을 추가하는 경우 Cloud SQL에서 사용자에게 'Cloud SQL 사용자' 역할을 추가하라는 메시지가 표시됩니다. 이 역할은 사용자가 인스턴스에 로그인하는 데 필요합니다.

gcloud 또는 API를 사용하여 사용자를 추가하는 경우 로그인 권한을 수동으로 부여해야 합니다. PostgreSQL GRANT 명령어를 사용하여 데이터베이스 권한을 부여합니다.

Cloud SQL IAM 데이터베이스 인증을 위한 인스턴스 구성

cloudsql.iam_authentication 플래그를 사용하여 인스턴스에서 IAM 데이터베이스 인증을 사용 설정할 수 있습니다. 이 플래그를 사용 설정하면 인스턴스가 IAM 데이터베이스 인증용으로 구성된 계정의 로그인을 사용 설정합니다.

이 플래그는 IAM 그룹 인증 및 IAM 데이터베이스 인증에 필요합니다.

이 플래그를 설정해도 IAM 사용자가 아닌 사용자가 자신의 사용자 이름과 비밀번호를 사용하여 로그인할 수 있습니다. 그러나 인스턴스에서 이 플래그를 사용 중지하면 이전에 IAM 데이터베이스 인증을 사용하여 추가한 모든 사용자가 인스턴스에 액세스할 수 없게 됩니다. 자세한 내용은 IAM 데이터베이스 인증을 위한 인스턴스 구성을 참조하세요.

다양한 인스턴스 시나리오에서 Cloud SQL IAM 데이터베이스 인증

읽기 복제본 IAM 데이터베이스 인증이 기본 인스턴스에서 사용 설정되어 있어도 읽기 복제본에서는 자동으로 사용 설정되지 않습니다. 읽기 복제본을 만든 후에는 IAM 데이터베이스 인증을 추가해야 합니다. 자세한 내용은 IAM 데이터베이스 인증을 위한 읽기 복제본 로그인 구성을 참조하세요.
복원된 인스턴스 인스턴스가 이전에 백업되고 나중에 동일한 프로젝트의 동일한 인스턴스 또는 다른 인스턴스로 복원된 경우 현재 사용자 로그인 승인이 적용됩니다. 다른 프로젝트의 새 인스턴스로 백업을 복원하는 경우 새 인스턴스의 사용자 승인을 설정해야 합니다. 자세한 내용은 IAM 데이터베이스 인증을 사용하는 사용자 또는 서비스 계정 추가를 참조하세요.

IAM 조건 정보

IAM 조건을 사용하여 여러 속성을 기준으로 역할을 부여할 수 있습니다. 예를 들어 특정 날짜 및 시간에만 액세스를 허용하거나 특정 이름의 Cloud SQL 리소스에만 액세스를 부여할 수 있습니다.

IAM 조건에 대한 자세한 내용은 IAM 조건 개요 페이지를 참조하세요. 예시를 포함하여 Cloud SQL에서 IAM 조건을 사용하는 방법을 자세히 알아볼 수도 있습니다.

Cloud 감사 로그 사용

로그인을 포함한 데이터 액세스 기록을 보존하려면 감사 로그를 사용하면 됩니다. Cloud 감사 로그는 기본적으로 사용 중지되어 있습니다. 로그인 추적에 데이터 액세스 감사 로그를 사용 설정해야 합니다. 이러한 용도로 감사 로깅을 사용하면 데이터 로깅 비용이 발생합니다. 자세한 내용은 감사 로그, 데이터 액세스 감사 로그 구성, 데이터 로깅 가격 책정을 참조하세요.

제한사항

  1. IAM 데이터베이스 인증 사용자 계정의 로그인은 모두 소문자여야 합니다. 예를 들면 example-user@example.com입니다. Example-User@example.com은 허용되지 않습니다.
  2. IAM 데이터베이스 인증을 사용하는 로그인은 보안상의 이유로 SSL 연결에서만 사용할 수 있습니다. 암호화되지 않은 연결은 거부됩니다.
  3. 각 인스턴스의 분 단위 로그인 할당량은 성공한 로그인과 실패한 로그인 정보를 모두 포함합니다. 할당량을 초과하면 로그인을 일시적으로 사용할 수 없습니다. 자주 로그인하지 말고 승인된 네트워크를 사용하여 로그인을 제한하는 것이 좋습니다. 로그인 승인 할당량은 인스턴스별로 분당 12,000입니다.

다음 단계