안녕하세요, 클루커스 구글 클라우드 컨설턴트 최찬회입니다.
이번 시간에는 GKE, App Engine, Cloud Run 등 컨테이너 기반으로 어플리케이션을 사용할 때 활용할 수 있는 워크로드 아이덴티티의 대해서 알아보았습니다.
워크로드 아이덴티티를 활용시 얻을 수 있는 장점은 다음과 같습니다.
- 보안 강화: 서비스 계정 키를 사용하는 것보다 보안이 강화됩니다. 서비스계정 키는 파일 형태로 제공되기 때문에 워크로드 아이덴티티를 활용하면분실 또는 도난의 위험을 줄이고 권한 에스컬레이션 공격을 방지할 수있습니다.
- 관리 효율성 향상: 서비스계정 키를 사용할 경우 각 권한에 맞춰 여러권한을 생성하고, 생성한 키와 만료일을 관리해야 할 경우 관리 복잡성이증가할 수 있지만 워크로드 아이덴티티를 활용하면 네임스페이스별 권한관리를 통해 관리 효율성 향상시킬 수 있습니다.
- 사용 편의성 개선: 워크로드 아이덴티티는 API 요청에 ID 를 포함하지않고도 인증할 수 있으므로, 서비스 계정 키를 사용하는 것보다 사용편의성이 향상됩니다. 이는 개발 및 운영의 복잡성을 줄이고, API 호출을간소화하는 데 도움이 됩니다.
자세한 설명은 영상을 참고 해주시기 바랍니다.
다음은 필요에 따라 타 클라우드(AWS, Azure) 혹은 온프레미스 워크로드에서도 Google Cloud 리소스에 대한 액세스 권한을 부여가 필요한 경우가 있을 텐데요.
이때 워크로드 아이덴티티 제휴(Workload Identity Federation)을 활용해보시길 바랍니다.
타 CSP 및 On-prem 환경 어플리케이션에서 Google Cloud 리소스를액세스하기 위해서는 서비스 계정 키를 사용하는 것이 일반적입니다. 하지만워크로드 ID 제휴를 사용시 외부 ID 에 Google Cloud IAM 역할을 부여할 수있습니다. 이를 통해 서비스 계정 키와 관련된 유지보수 및 보안 부담이 사라집니다.
GCP 워크로드 아이덴티티 풀 제공업체 입니다.
- AWS
- Azure Active Directory
- 온프레미스 Active Directory Federation Services(ADFS)
- Okta
- Kubernetes 클러스터
Reference
상황에 맞는 보안 아키텍처 설계에 대한 도움이 필요하시다면 클루커스와 함께 시작해보세요 😊