Cloud Run에 IAP 사용 설정

이 페이지에서는 IAP(Identity-Aware Proxy)를 사용하여 Cloud Run 서비스를 보호하는 방법을 설명합니다.

제한 사항

  • IAP는 Cloud Run이 배포된 서비스에 제공하는 도메인을 보호하지 않습니다. IAP에만 서비스 액세스 권한이 있는지 확인하려면 Cloud Run 서비스에서 IAM 인증을 사용합니다. IAP가 Cloud Run 서비스에 액세스하도록 허용하려면 Cloud Run 호출자 역할이 있는 IAP 서비스 계정 역할 service-[PROJECT_NUMBER]@gcp-sa-iap.iam.gserviceaccount.com을 부여합니다. IAP는 ID 토큰을 생성하고 X-Serverless-Authorization 헤더를 사용하여 이 토큰으로 Cloud Run에 인증합니다.

  • IAP는 X-Serverless-Authorization 헤더를 사용하여 Cloud Run에 인증합니다. Cloud Run은 서명을 제거한 후 이 헤더를 서비스에 전달합니다. 서비스가 IAM 인증이 필요한 다른 Cloud Run 서비스로 요청을 전달하도록 설계된 경우 먼저 이 헤더를 삭제하도록 서비스를 업데이트하세요.

  • IAP는 Cloud CDN과 호환되지 않습니다.

시작하기 전에

Cloud Run에 IAP를 사용 설정하려면 다음이 필요합니다.

IAP는 Google 관리 OAuth 클라이언트를 사용하여 사용자를 인증합니다. 조직 내 사용자만 IAP가 사용 설정된 애플리케이션에 액세스할 수 있습니다. 조직 외부 사용자에게 액세스를 허용하려면 외부 애플리케이션에 IAP 사용 설정을 참조하세요.

IAP 사용 설정

콘솔

Google Cloud 콘솔을 사용하여 IAP를 사용 설정하면 Google 관리 OAuth 클라이언트를 사용할 수 없습니다.

프로젝트의 OAuth 동의 화면을 구성하지 않았으면, 구성하라는 메시지가 표시됩니다. OAuth 동의 화면을 구성하려면 OAuth 동의 화면 설정을 참조하세요.

IAP 액세스 설정

  1. Identity-Aware Proxy 페이지로 이동합니다.
  2. IAP로 보호하려는 프로젝트를 선택합니다.
  3. 애플리케이션에서 구성원을 추가할 부하 분산기 백엔드 서비스 옆에 있는 체크박스를 선택합니다.
  4. 오른쪽 패널에서 구성원 추가를 클릭합니다.
  5. 구성원 추가 대화상자에서 프로젝트에 대한 IAP 보안 웹 앱 사용자 역할이 있어야 하는 그룹 또는 개별 계정을 입력합니다. 다음 계정 종류가 구성원이 될 수 있습니다.

    • Google 계정: user@gmail.com - user@google.com 또는 일부 작업공간 도메인과 같은 Google Workspace 계정일 수도 있습니다.
    • Google Groups: admins@googlegroups.com
    • 서비스 계정: server@example.iam.gserviceaccount.com
    • Google Workspace 도메인: example.com
  6. 역할 드롭다운 목록에서 Cloud IAP > IAP 보안 웹 앱 사용자를 선택합니다.

  7. 저장을 클릭합니다.

IAP 사용 설정 중

  1. IAP 페이지애플리케이션에서 액세스를 제한하려는 부하 분산기 백엔드 서비스를 찾습니다. 리소스에 IAP를 사용 설정하려면 IAP 전환 버튼을 클릭합니다. IAP를 사용 설정하려면 다음 안내를 따르세요.
    • 부하 분산기 프런트엔드 구성에서 하나 이상의 프로토콜이 HTTPS여야 합니다. 부하 분산기 설정에 대해 자세히 알아보세요.
    • compute.backendServices.update, clientauthconfig.clients.create, clientauthconfig.clients.getWithSecret 권한이 필요합니다. 이러한 권한은 프로젝트 편집자 역할과 같은 역할에 의해 부여됩니다. 자세한 내용은 IAP 보안 리소스에 대한 액세스 관리를 참조하세요.
  2. 표시되는 IAP 사용 창에서 사용을 클릭하여 IAP가 리소스를 보호할 것임을 확인합니다. IAP를 사용하면 부하 분산기에 대한 모든 연결에 로그인 사용자 인증 정보가 필요합니다. 프로젝트에서 IAP 보안 웹 앱 사용자 역할이 있는 계정만 액세스할 수 있습니다.
  3. IAM으로 액세스 제어의 안내에 따라 IAP가 백엔드 Cloud Run 서비스로 트래픽을 전송하도록 승인합니다.

    • 주 구성원: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
    • 역할: Cloud Run 호출자

gcloud

  1. 아직 서비스 계정을 만들지 않았다면 다음 명령어를 실행하여 서비스 계정을 만듭니다. 이전에 서비스 계정을 만든 경우 명령어를 실행해도 중복 서비스 계정이 생성되지 않습니다.
    gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID]
  2. 다음 명령어를 실행하여 이전 단계에서 만든 서비스 계정에 호출자 권한을 부여합니다.
    gcloud run services add-iam-policy-binding [SERVICE-NAME] \
    --member='serviceAccount:service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com'  \
    --role='roles/run.invoker'
    
  3. 부하 분산기 백엔드 서비스가 전역인지 리전인지에 따라 전역 또는 리전 범위 명령어를 실행하여 IAP를 사용 설정합니다. 이전 단계의 OAuth 클라이언트 ID 및 보안 비밀을 사용합니다.

    전역 범위

    gcloud compute backend-services update BACKEND_SERVICE_NAME --global --iap=enabled
    

    리전 범위

    gcloud compute backend-services update BACKEND_SERVICE_NAME --region REGION_NAME --iap=enabled
    
    다음을 바꿉니다.

    • BACKEND_SERVICE_NAME: 백엔드 서비스의 이름입니다.
    • REGION_NAME: IAP를 사용 설정할 리전

IAP를 사용 설정한 후 Google Cloud CLI를 사용하여 Identity and Access Management 역할 roles/iap.httpsResourceAccessor로 IAP 액세스 정책을 조작할 수 있습니다. 자세한 내용은 역할 및 권한 관리를 참조하세요.

액세스 제한을 위해 Cloud Run 구성

내부 클라이언트 및 외부 부하 분산기에 대한 액세스만 허용하도록 Cloud Run 서비스를 구성하여 공개 인터넷의 모든 직접 요청을 차단할 수 있습니다.

Cloud Run에 대한 인그레스 제한의 단계에 따라 Cloud Run 서비스의 인그레스 설정을 내부 및 Cloud Load Balancing으로 구성합니다.

오류 해결

 The IAP service account is not provisioned 
이 오류가 표시된다면 gcloud CLI를 통해 Cloud Run 서비스에서 IAP를 사용 설정하려고 하는 것입니다. gcloud CLI를 통한 IAP 설정에는 gcloud beta services identity create --service=iap.googleapis.com --project=[PROJECT_ID] 명령어를 사용하여 프로젝트에서 IAP 서비스 계정을 프로비저닝하는 단계가 추가로 포함됩니다.
 Your client does not have permission to get URL from this server 
  • IAP는 IAP 서비스 계정 권한을 사용하여 Cloud Run 서비스를 호출합니다. service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com 서비스 계정에 Cloud Run 호출자 역할을 부여했는지 확인하세요.

  • 이전 서비스 계정에 Cloud Run 호출자 역할을 부여했는데도 이 문제가 계속 발생하면 Cloud Run 서비스를 재배포하세요.

IAP 서비스 계정에 run.routes.invoke 권한이 필요하지 않음

Cloud Run 미리보기로 IAP를 사용하는 중에 Cloud Run은 Cloud Run 호출자 역할을 사용하는 IAP의 호출에 대해 run.routes.invoke 권한 검사를 수행하지 않았습니다. 정식 버전(GA)에서 Cloud Run은 이 권한 검사를 수행합니다.

브레이킹 체인지를 방지하기 위해 미리보기 중에 이 동작에 의존한 일부 고객 프로젝트가 권한이 선택되지 않도록 허용 목록에 포함되었습니다. Cloud Run 지원팀에 문의하여 이러한 프로젝트를 미리보기 전용 허용 목록에서 삭제하세요.

다음 단계

Terraform으로 Cloud Run용 IAP를 설정하려면 Terraform 코드 샘플을 살펴보기