티스토리 뷰
안녕하세요! 두 번째네요. 먼저 서비스 계정 생성하고, 키 발급 받아볼게요!
서비스 계정을 발급받는 이유는 엄청 다양하겠지만(소유하는 역할 축소, 서비스 계정 및 키를 통한 내부 라이브러리 사용 등등), 보안 관점으로 보면 역할을 축소해서 지정하고 본캐가 털리는 것 보단 부캐(?)가 털리는게 낫기 때문이라고 볼 수 있겠습니다(.....)
-> 그냥 제 뇌피설이기 때문에 다른 전문가 분께서 댓글 달아주시면 감사하겠습니다.
어찌됐든 아래 그림과 같이 들어가주시구요.
들어가시면 아래와 같이 기존에 존재하는 기본 서비스 계정들이 나오게 됩니다.
전 Compute Engine 관련한 서비스 계정이 기본적으로 생성되어져 있네요.(이것 외에도 우리 눈에 보이진 않지만 다양한 한 기본 계정들이 존재합니다. 솔직히 GCP 너무 불친절해서 Dataproc 같은거 할 때 문서 모르면 개발, 운영, 보안 하는 사람 다 빡치는 경우 생김 링크)
구글님 전 언젠가 구글에서 일해보고 싶은 사람입니다. 미워하지 말아주세요 >_-(찡긋) 위 링크는 하나의 예인데 보이지 않는 서비스 계정을 다른 프로젝트에 등록해줘야만 동작하는 그런 예시입니다.(shared vpc도 있고 모르는 용어도 있으실 테지만 언젠가 dataproc 관련해서 막힌다면 turtle1000을 검색해서 위 링크를 클릭해보세요!
뭐 암튼 계정 진행하면 '+ CREATE SERVICE ACCOUNT' 버튼을 눌러 생성해봅시다.
원하는 계정명을 입력하시고, 세 번째 칸에는 설명 입력해주세요.(암거나 넣으시면 됩니다.) 두 번째 칸은 자동으로 입력되는데 GCP의 특징이랄까.. 길게 작성하면 뒤에 숫자가 안붙습니다!
뭐, 전 이런식으로 넣었습니다. 그 다음,
역할에 Owner를 줬구요.(설명보시면 아시겠지만 이거 털리면 제 프리티어 다 날아가는겁니다. 개인은 그나마 낫지.. 회사에서 누가 쓰다가 털렸다고 생각하면 끔-찍한 사태가 발생하겠죠?)
첫 번째, 두 번째 칸은 입력해도 되고 안해도 됩니다.(첫번째 칸은 이 계정 사용가능한 유저, 두 번째 칸은 이 계정 관리 할 유저입니다.) 입력안하셔도 사용하는데 문제 없습니다.(쉽게 말하면 안 넣으면 사용 가능한 역할 상속받은 계정만 사용 가능(밑에 가다보면 설명있음), 넣으면 특정 계정과 역할 상속받은 계정만 사용하도록 제어 가능하다고 보시면 됩니다. 자세한건 링크 참조)
어찌 됐든, 전 JSON 방식으로 키를 생성하겠습니다.(키 생성안한다고 키가 없는게 아니고 구글 내부에서 제어를 해주는 겁니다.(자세한건 위 링크 참조하시고, 위에서부터 쭉 읽어보세요.)
자동으로 키가 다운로드 되고, CLOSE 버튼 클릭하시고 DONE 누르시면 됩니다.
여기서 잠깐! 저렇게 계정을 입력했다고 저기 명시된 계정만 사용할 수 있는 것이 아닙니다. 아래와 같이 정보를 확인해보죠.
솔직히 귀찮기 때문에 번호는 생략하고, 위에서부터 설명드리겠습니다.
첫 번째로 'SHOW INFO PANEL'을 클릭하면 우측에 위 그림과 같은 창이 나타납니다.(그러면 HIDE로 바뀌는 구조)
그 다음 'Show Inherited permissions'를 클릭하면 비활성화 되고 계정 생성할 때 부여한 계정 목록이 나타납니다.(활성화 시키시면 기본적으로 권한 상속으로인해 서비스 계정 사용 가능한 계정 목록 전부 보여줌)
세 번째로 나오는 계정들을 보셔야 하는데요. 아래 그림을 봐주세요.
보시면 두 계정에는 'Owner' 역할이 부여되지 않은걸 보실 수 있죠? 이런 경우는 매우 바람직하지 못합니다. 왜냐하면! Service Account User 권한은 서비스 계정에 부여된 역할을 모두 사용할 수 있기 때문이죠!
보이시죠?! Service Account User에 속한 계정은 서비스 계정으로써 명령들을 수행가능합니다.(대한민국 주입식 영어 망해라!)
하.. 제가 보안하는 사람이다 보니 엄청 돌아왔네요 -_-;; 물론 이것 말고도 엄청 신경쓸게 많지만 이 정도 설명해드렸으니 나머지는 알아서 찾아보세요. :)
각설하고, 이제 아래와 같이 키 경로를 환경 변수에 넣어주세요.
그 후에 아래 명령을 입력하시면 또 웹이 뜨실텐데 아시죠? 불가항력. 그냥 다 확인하시면 됩니다.
블러 처리된 곳과 맨 밑 명령어는 민감하거나 token 확인 하는거라서 결과는 전부 가린겁니다~!
gcloud auth application-default login
gcloud auth application-default print-access-token위 명령어 입력한겁니다~! 결과까지 나왔다면 드.디.어 연결 완료했습니다 후.. 이제 뭘 해볼까요?
'퍼블릭클라우드 > GCP' 카테고리의 다른 글
| 4. IAM Custom Role 생성/부여/관리 (0) | 2019.11.17 |
|---|---|
| 3. GCP Python API(google-api-python-client) (1) | 2019.11.14 |
| 1. GCP SDK 설치 (0) | 2019.11.10 |
- Total
- Today
- Yesterday
- IAM
- compliance
- ControlTower
- CIS
- 4xx
- .get()
- conftest policy
- steampipe
- AWS #CIS
- platform
- stateType
- findinglatestversion
- aws
- ViaAWSService
- JavaScript
- Cloud
- web
- 2xx
- 계정정보저장
- teplate
- defaulttheme
- REACT
- 우주와컴퓨터
- terraform
- opensource
- fleet manager
- security
- scp
- temlate
- cloudsecurity
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |