[GCP] OS 로그인 설정

Google Associate Cloud Engineer

이 글은 개인적으로 공부한 내용을 정리한 것이므로 틀린 내용이 포함되어 있을 수 있습니다.

💁 Question

회사의 모든 직원은 Google 계정을 가지고 있다. 운영팀은 Compute Engine에서 많은 수의 인스턴스를 관리해야 한다. 이 팀의 각 구성원은 서버에 대한 관리 액세스만 필요하다. 보안팀은 자격 증명의 배포가 운영 효율적으로 수행되어야 하며, 지정된 인스턴스에 액세스한 사람을 확인할 수 있어야 한다. 어떻게 해야 할까?

🙆 Answer

각 팀원에게 새 SSH 키 쌍을 생성하고 공용 키를 Google 계정에 추가하도록 요청한다. 이 팀에 해당하는 Google 그룹에 "compute.osAdminLogin" 역할을 부여한다.

⚠️ Caution

• 개인 키를 공유하거나 단일 키를 기반으로 한 액세스 제공은 보안 측면에서 좋은 방법이 아니다.
• 보안 권장사항에 따라 구성원에게 필요한 최소 권한을 부여하는 것이 좋다.
• Google 그룹을 사용하면 대규모 사용자를 관리할 수 있다. Google 그룹의 각 구성원은 해당 그룹에 부여된 ID 및 액세스 관리(IAM) 역할을 상속한다. 이러한 상속 덕분에 개별 사용자에게 IAM 역할을 부여하는 대신 그룹 멤버십을 사용해서 사용자의 역할을 관리할 수 있다.
• roles/compute.osAdminLogin 역할은 인스턴스 접근시 관리자 권한이 부여된다.

💡 Check Point: OS 로그인

• OS 로그인은 메타데이터에서 SSH 키를 직접 다루는 인스턴스 액세스 관리 방법의 대안이다.
• OS 로그인을 사용하면 관리자는 IAM 권한을 설정하여 인스턴스 또는 프로젝트 수준에서 인스턴스에 대한 액세스를 쉽게 관리할 수 있다.

🔗 References

• OS 로그인 설정
• OS 로그인의 이점