체크포인트
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Cloud IAM: Qwik Start
GSP064
개요
Google Cloud의 Identity and Access Management(IAM) 서비스를 사용하면 Google Cloud 리소스에 대한 권한을 만들고 관리할 수 있습니다. Cloud IAM은 Google Cloud 서비스의 액세스 제어를 단일 시스템으로 통합하고 일관된 운영 방식을 제공합니다.
이 실습에서는 서로 다른 두 가지 사용자 인증 정보로 로그인하여 Google Cloud 프로젝트 소유자 및 뷰어 역할에서 권한을 부여하고 취소하는 방법을 알아봅니다.
학습할 내용
- 두 번째 사용자에게 역할 할당하기
- Cloud IAM과 연결되어 있는 할당된 역할 삭제하기
기본 요건
이 실습은 입문용이며, Cloud IAM에 대한 사전 지식이 거의 없거나 전혀 없는 사용자를 대상으로 합니다. Cloud Storage에 대한 경험은 이 실습에서 작업을 완료하는 데 유용하지만 필수는 아닙니다. .txt 또는 .html 파일을 사용할 수 있어야 합니다. Cloud IAM에 관한 좀 더 수준 높은 실습을 하고 싶다면 다음 Google Cloud Skills Boost 실습의 IAM 커스텀 역할을 확인하세요.
준비가 되었으면 아래로 스크롤하여 단계에 따라 실습 환경을 설정하세요.
설정 및 요건
앞에서 언급했듯이 이 실습에서는 두 가지 사용자 인증 정보를 제공하여 IAM 정책과 특정 역할에 사용할 수 있는 권한을 설명합니다.
실습 왼쪽에 있는 실습 연결 패널에서 다음과 유사한 사용자 인증 정보 목록을 찾을 수 있습니다.
사용자 이름 1과 사용자 이름 2라는 두 개의 사용자 이름이 있습니다. Cloud IAM의 ID를 나타내는 이 두 이름에는 각각 서로 다른 액세스 권한이 할당되어 있습니다. 이러한 '역할'은 할당된 프로젝트에서 Google Cloud 리소스로 할 수 있는 작업과 할 수 없는 작업에 대한 제약 조건을 설정합니다.
첫 번째 사용자로 Cloud 콘솔에 로그인하기
- Google 콘솔 열기 버튼을 클릭합니다. 새 브라우저 탭이 열립니다. 계정을 선택하라는 메시지가 표시되면 다른 계정 사용을 클릭합니다.
- Google Cloud 로그인 페이지가 열립니다. 로그인 페이지가 열리면
googlexxxxxx_student@qwiklabs.net
과 비슷한 사용자 이름 1의 인증 정보를 복사하여 '이메일 또는 전화' 필드에 붙여넣은 후 다음을 클릭합니다. - 실습 연결 패널에서 비밀번호를 복사하여 Google 로그인 비밀번호 필드에 붙여넣습니다.
- 다음을 클릭하고 서비스 약관에 동의합니다. Cloud 콘솔이 열립니다. 서비스 약관에 동의하고 동의 및 계속을 클릭합니다.
두 번째 사용자로 Cloud 콘솔에 로그인하기
- Google 콘솔 열기 버튼을 다시 클릭합니다. 새 브라우저 탭이 열리면서 계정을 선택하라는 메시지가 표시되면 다른 계정 사용을 클릭합니다.
- Google Cloud 로그인 페이지가 열립니다.
googlexxxxxx_student@qwiklabs.net
과 비슷한 사용자 이름 2의 인증 정보를 복사하여 이메일 또는 전화 필드에 붙여넣은 뒤 다음을 클릭합니다. - 실습 연결 패널에서 비밀번호를 복사하여 Google 로그인 비밀번호 필드에 붙여넣습니다.
- 다음을 클릭하고 서비스 약관에 동의합니다. Cloud 콘솔이 열립니다. 서비스 약관에 동의하고 동의 및 계속을 클릭합니다.
브라우저에 두 개의 Cloud 콘솔 탭이 열려 있어야 합니다. 하나는 사용자 이름 1로, 다른 하나는 사용자 이름 2로 로그인한 것입니다.
브라우저 탭에서 사용자 보기 또는 재설정하기
때로는 브라우저 탭에서 사용자를 덮어쓸 수도 있고, 어떤 사용자가 어떤 브라우저 탭에 로그인했는지 헷갈릴 수 있습니다.
어떤 사용자가 어떤 브라우저 탭에 로그인했는지 보려면 아바타 위로 마우스를 가져가서 해당 탭의 사용자 이름을 확인합니다.
브라우저 탭에 로그인한 사용자를 재설정하려면 다음 단계를 따르세요.
- 아바타를 클릭하고 로그아웃을 클릭하여 로그아웃합니다.
- 실습 연결 패널에서 Google 콘솔 열기를 클릭하고 알맞은 사용자 이름과 비밀번호를 사용해 다시 로그인합니다.
작업 1. IAM 콘솔 및 프로젝트 수준 역할 살펴보기
- 사용자 이름 1 Cloud 콘솔 페이지로 돌아갑니다.
- 탐색 메뉴 > IAM 및 관리자 > IAM을 선택합니다. 그러면 'IAM 및 관리자' 콘솔이 열립니다.
- 페이지 상단에서 +액세스 권한 부여 버튼을 클릭합니다.
- 아래로 스크롤하여 역할 선택 섹션의 기본으로 마우스를 가져갑니다.
다음과 같은 세 가지 역할이 있습니다.
- 편집자
- 소유자
- 뷰어
이 네 가지가 Google Cloud의 기본 역할입니다. 기본 역할은 프로젝트 수준 권한을 설정하며 별도로 명시되지 않는 한 모든 Google Cloud 서비스의 액세스 및 관리를 제어합니다.
다음 표에 있는 정의는 Google Cloud IAM 문서의 기본 역할에서 발췌했으며 탐색자, 뷰어, 편집자, 소유자 역할 권한에 관해 간단한 개요를 제공합니다.
역할 이름 |
권한 |
역할/뷰어 |
상태에 영향을 주지 않는 읽기 전용 작업에 대한 권한이 있습니다. 예를 들면 기존 리소스 또는 데이터의 조회(수정 제외)가 여기에 해당합니다. |
역할/편집자 |
모든 뷰어 권한에 더해 기존 리소스 변경과 같이 상태를 변경하는 작업에 대한 권한까지 포함됩니다. |
역할/소유자 |
모든 편집자 권한 및 다음 작업에 대한 권한이 있습니다.
|
이 프로젝트의 역할 및 권한을 관리할 수 있기 때문에 사용자 이름 1에는 프로젝트 소유자 권한이 있습니다.
- 취소를 클릭하여 '주 구성원 추가' 패널을 종료합니다.
편집자 역할 살펴보기
이제 사용자 이름 2 콘솔로 전환합니다.
-
IAM 및 관리자 콘솔로 이동하여 탐색 메뉴 > IAM 및 관리자 > IAM을 선택합니다.
-
표에서 사용자 이름 1과 사용자 이름 2를 검색하고 부여된 역할을 검토합니다. 사용자 이름 1과 사용자 이름 2 역할이 각 사용자 오른쪽에 인라인으로 표시됩니다.
다음과 같이 표시됩니다.
- 사용자 이름 2에는 '뷰어' 역할이 부여되었습니다.
- 상단의 +액세스 권한 부여 버튼이 회색으로 표시되며, 클릭하면 '이 작업에 대한 권한이 필요합니다. 필수 권한: resource manager.projects.setIamPolicy'라는 메시지가 나타납니다.
이것은 IAM 역할이 Google Cloud에서 할 수 있는 작업과 할 수 없는 작업에 어떤 영향을 미치는가에 대한 하나의 예입니다.
- 다음 단계를 위해 사용자 이름 1 콘솔로 다시 전환합니다.
작업 2. 액세스 테스트를 위한 Cloud Storage 버킷 준비
현재 사용자 이름 1 Cloud 콘솔에 있는지 확인합니다.
버킷 만들기
-
고유한 이름으로 Cloud Storage 버킷을 만듭니다. Cloud 콘솔에서 탐색 메뉴 > Cloud Storage > 버킷을 선택합니다.
-
+만들기를 클릭합니다.
- 다음 필드를 업데이트하고 다른 모든 필드는 기본값으로 둡니다.
속성 |
값 |
이름 |
전역으로 고유한 이름을 직접 만들고 계속을 클릭합니다. |
위치 유형 |
멀티 리전 |
버킷 이름을 기록해 둡니다. 이후 단계에서 사용하게 됩니다.
-
만들기를 클릭합니다.
-
공개 액세스가 차단됨이라는 메시지가 표시되면 확인을 클릭합니다.
샘플 파일 업로드
-
버킷 세부정보 페이지에서 파일 업로드를 클릭합니다.
-
컴퓨터를 검색하여 사용할 파일을 찾습니다. 텍스트 파일이나 html 파일이면 됩니다.
-
파일이 있는 행 끝의 세 점을 클릭하고 이름 바꾸기를 클릭합니다.
-
파일 이름을 ‘
sample.txt
'로 바꿉니다. -
이름 바꾸기를 클릭합니다.
내 진행 상황 확인하기를 클릭하여 목표를 확인합니다.
프로젝트 뷰어 액세스 권한 확인
-
사용자 이름 2 콘솔로 전환합니다.
-
콘솔에서 탐색 메뉴 > Cloud Storage > 버킷을 선택합니다. 이 사용자가 버킷을 볼 수 있는지 확인합니다.
사용자 이름 2에는 상태에 영향을 주지 않는 읽기 전용 작업을 허용하는 '뷰어' 역할이 지정되어 있습니다. 이 예는 이 기능을 설명하기 위한 것입니다. 즉, 뷰어는 액세스 권한이 부여된 Google Cloud 프로젝트에서 호스팅되는 Cloud Storage 버킷과 파일을 볼 수 있습니다.
작업 3. 프로젝트 액세스 권한 삭제
사용자 이름 1 콘솔로 전환합니다.
사용자 이름 2에 대한 프로젝트 뷰어 권한 삭제
- 탐색 메뉴 > IAM 및 관리자 > IAM을 선택합니다. 그런 다음 사용자 이름 2 오른쪽에 인라인으로 표시된 연필 아이콘을 클릭합니다.
- 역할 이름 옆에 있는 휴지통 아이콘을 클릭하여 사용자 이름 2의 프로젝트 뷰어 액세스 권한을 삭제합니다. 그런 다음 저장을 클릭합니다.
사용자가 구성원 목록에서 사라진 것을 알 수 있습니다. 이제 이 사용자에게는 액세스 권한이 없습니다.
사용자 이름 2의 액세스 권한이 사라졌음을 확인
-
사용자 이름 2 Cloud 콘솔로 전환합니다. 여전히 사용자 이름 2의 인증 정보로 로그인한 상태이며, 권한이 취소된 후에도 프로젝트에서 로그아웃되지 않았는지 확인합니다. 로그아웃된 경우 알맞은 사용자 인증 정보로 다시 로그인하세요.
-
탐색 메뉴 > Cloud Storage > 버킷을 선택하여 Cloud Storage로 다시 이동합니다.
그러면 권한 오류가 표시됩니다.
내 진행 상황 확인하기를 클릭하여 목표를 확인합니다.
작업 4. Cloud Storage 권한 추가
-
실습 연결 패널에서 사용자 이름 2의 이름을 복사합니다.
-
사용자 이름 1 콘솔로 전환합니다. 여전히 사용자 이름 1의 인증 정보로 로그인한 상태인지 확인합니다. 로그아웃된 경우 알맞은 사용자 인증 정보로 다시 로그인하세요.
-
콘솔에서 탐색 메뉴 > IAM 및 관리자 > IAM을 선택합니다.
-
+액세스 권한 부여 버튼을 클릭한 다음 사용자 이름 2의 이름을 새로운 주 구성원 필드에 붙여넣습니다.
-
역할 선택 필드의 드롭다운 메뉴에서 Cloud Storage > 스토리지 객체 뷰어를 선택합니다.
-
저장을 클릭합니다.
액세스 확인
- 사용자 이름 2 콘솔로 전환합니다. 아직 Storage 페이지에 있어야 합니다.
사용자 이름 2에는 프로젝트 뷰어 역할이 없으므로 사용자는 콘솔에서 프로젝트 또는 리소스를 볼 수 없습니다. 하지만 이 사용자에게는 Cloud Storage에 대한 특정 액세스 권한인 스토리지 객체 뷰어 권한이 있습니다. 이제 확인해 보겠습니다.
-
Cloud Shell 활성화() 아이콘을 클릭하여 Cloud Shell 명령줄을 엽니다. 메시지가 표시되면 계속을 클릭합니다.
-
Cloud Shell 세션을 열고 다음 명령어를 입력합니다.
[YOUR_BUCKET_NAME]
을 앞에서 만든 버킷의 이름으로 바꿉니다.
다음과 비슷한 출력이 표시됩니다.
AccessDeniedException
오류가 발생하면 잠시 기다렸다가 명령어를 다시 실행하세요.- 보시다시피 사용자 이름 2에 Cloud Storage 버킷에 대한 보기 권한을 부여했습니다.
내 진행 상황 확인하기를 클릭하여 목표를 확인합니다.
수고하셨습니다
이 실습에서는 사용자에게 Cloud IAM 역할을 부여하고 취소하는 방법을 실습했습니다.
다음 단계/더 학습하기
이 실습은 Qwik Start라고 하는 실습 시리즈에도 있습니다. Google Cloud에서 제공하는 다양한 기능을 간략하게 소개하고자 마련되었습니다. Google Cloud Skills Boost 카탈로그에서 'Qwik Start'를 검색하여 다음으로 참여할 실습을 찾아보세요.
Google Cloud 교육 및 자격증
Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.
설명서 최종 업데이트: 2024년 4월 15일
실습 최종 테스트: 2024년 4월 8일
Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.