GCP Cloud Engineer - 35

Members (구성원)

• 구성원의 유형:

  • ㅁ Google 계정: 개발자, 관리자 및 기타 Google Cloud 사용자를 포함하는 개인 사용자 계정.

  • ㅁ 서비스 계정: 애플리케이션에 속한 계정으로, 코드 실행을 위해 사용됩니다.

  • ㅁ Google 그룹스: Google 계정과 서비스 계정을 포함하는 이름이 지정된 컬렉션입니다.

  • ㅁ Google Workspace 도메인: 조직의 Workspace 계정에서 생성된 모든 Google 계정의 그룹.

  • ㅁ Cloud ID 도메인: Workspace 기능 없이 Google 관리 콘솔을 통해 사용자 및 그룹을 관리합니다.

• IAM 정책 및 역할:

  • ㅁ 정책과 바인딩: 구성원 목록을 특정 역할에 연결하는 IAM 정책 구조.

  • ㅁ 역할 상속: 상위 정책이 하위 정책보다 덜 제한적인 경우, 더 제한적인 정책을 재정의할 수 있습니다.

  • ㅁ 최소 권한의 원칙: 각 작업에 필요한 가장 작은 권한을 부여하여 위험을 최소화합니다.

  • ㅁ 역할 권장사항과 정책 통계: 초과 권한을 식별하고 필요한 권한만 부여합니다.

• 거부 정책과 IAM 조건:

  • ㅁ 거부 정책: 부여된 역할과 관계없이 특정 권한의 사용을 제한하는 정책입니다.

  • ㅁ IAM 조건: 특정 조건을 만족할 때만 구성원에게 리소스 액세스를 허용합니다.

• Google Cloud 디렉터리 동기화와 SSO:

  • ㅁ Google Cloud 디렉터리 동기화: 기존 Active Directory 또는 LDAP 시스템의 사용자 및 그룹을 Cloud ID와 동기화합니다.

  • ㅁ 싱글 사인온 (SSO): 기존 ID 시스템을 사용하여 Google Cloud 리소스에 대한 액세스를 관리합니다.

Service Account (서비스 계정)

• 서비스 계정의 역할:

  • ㅁ 개별 최종 사용자가 아니라 애플리케이션에 속한 계정으로, 프로젝트 간의 서비스 상호작용을 위한 ID 제공.

  • ㅁ 예를 들어, Google Cloud Storage와 상호작용하는 앱 개발 시 필요.

• 서비스 계정 유형:

  • ㅁ 사용자 생성/커스텀 서비스 계정: 필요에 따라 생성, 액세스 범위 및 IAM 역할을 맞춤 설정하여 할당 가능.

  • ㅁ 기본 제공 Google API 서비스 계정: 모든 프로젝트에 제공되며, 내부 Google 프로세스를 실행하는 데 사용.

  • ㅁ Compute Engine 기본 서비스 계정: 프로젝트별로 자동 생성되며, 편집자 역할이 자동으로 부여됨.

• 서비스 계정 인증 및 접근 제어:

  • ㅁ 인스턴스에서 실행될 때 액세스 범위를 지정하여 API 인증을 수행.

  • ㅁ IAM 역할 사용하여 서비스 계정의 역할을 그룹이나 사용자에게 할당, 사용자는 할당된 역할로 필요한 작업 수행 가능.

  • ㅁ 서비스 계정 사용자 역할을 가진 사용자는 서비스 계정이 액세스할 수 있는 모든 리소스에 액세스 가능.

• 서비스 계정 키 관리:

  • ㅁ Google Cloud 내에서는 Google이 자동으로 서비스 계정 키를 관리. (Google-managed service accounts)

  • ㅁ 외부에서 사용할 경우, 사용자는 자체 서비스 계정 키를 수동으로 만들고 관리해야 함. (User-managed service accounts)

  • ㅁ 사용자가 관리하는 키의 공개 부분만 Google에 저장되며, 비공개 키의 보안은 사용자 책임.

  • ㅁ 키 순환: 사용자가 최대 10개의 서비스 계정 키를 만들 수 있으며, 이를 주기적으로 갱신해야 함.

• 서비스 계정의 보안:

  • ㅁ 서비스 계정 사용 시 보안 키나 사용자 인증 정보를 애플리케이션 코드에 삽입하지 않고도 안전하게 인증 수행 가능.

  • ㅁ 단기 서비스 계정 사용자 인증 정보(토큰) 또는 서비스 계정, 가장 사용을 고려하여 보안 강화.