Course

Cloud Engineering

Lab

목록

• Cloud IAM: Qwik Start ⬅️ 오늘의 Lab!
• Introduction to SQL for BigQuery and Cloud SQL
• Multiple VPC Networks
• Cloud Monitoring: Qwik Start
• Managing Deployments Using Kubernetes Engine

---

🌠Cloud IAM: Qwik Start

개요

Google Cloud의 Identity and Access Management(IAM) 서비스를 사용하면 Google Cloud 리소스에 대한 권한을 만들고 관리할 수 있다.
서로 다른 두 가지 사용자 인증 정보로 로그인하여 Google Cloud 프로젝트 소유자 및 뷰어 역할에서 권한을 부여하고 취소해보자!

실습 과정

참고✳️

이번 실습에는 평소 과정과 달리, 서로 다른 액세스 권한을 가진 로그인 계정이 2개가 제공된다. Open Goolge Console 버튼을 클릭하여 직접 아이디(Username)와 비밀번호(Password)를 입력하여 두 계정 모두 로그인하자! (두 계정에 대한 비밀번호는 동일하다.)

계정 전환 방법🔁

1. 시크릿 모드로 새 탭을 여러 개 열어서 각각의 탭마다 Username1, Username2 계정으로 로그인한다.
2. 하나의 탭에서 진행할 경우에는 우측 상단의 프로필 사진을 클릭하면 아래 로그인 된 계정 목록을 볼 수 있다. 로그인을 원하는 계정을 클릭 시 해당 계정으로 전환된다.

---

1. [Username1] IAM 권한 확인하기

1) Username1로 로그인 후 Cloud Console 창 열기

2) 네비게이션 메뉴 > IAM & Admin > IAM 메뉴 클릭

3) 권한 부여 방법 확인

➡️ [+Grant Access] 클릭 > Basic 선택 > 상세 권한 선택
➡️ 현재 Username1 계정은 필요한 권한이 부여된 상태이므로 별다른 작업을 안해도 된다. (Cancel 버튼 클릭하여 창 닫기)

참고✨

역할 이름	권한
viewr(뷰어)	읽기 전용 작업에 대한 권한
Editor(편집자)	모든 viwer 권한 + 상태를 변경하는 작업에 대한 권한
Owner(소유자)	모든 Editor 권한 + 프로젝트 및 프로세스 내 모든 리소스에 대한 역할 및 관리

4) 각 계정별 권한 확인

---

2. [Username2] IAM 권한 확인하기

1) Username2로 로그인 후 Cloud Console 창 열기

2) 네비게이션 메뉴 > IAM & Admin > IAM 메뉴 클릭

3) (Project가 안 뜬다면?) Project 선택

➡️ IAM 메뉴 상단의 [Select a progject] 버튼 클릭 > 실습용으로 제공 받은 Project ID와 동일한 프로젝트 선택

4) 권한 확인

➡️ 뷰어 권한만 있기 때문에 권한 추가하는 버튼이 비활성화 되어 있다.

---

3. [Username1] Cloud Storage Bucket 생성

1) Cloud Storage > Bucket 메뉴 접속 > Create bucket 클릭

2) Bucket 생성

• Name: 전역으로 고유한 이름 직접 작성
  (나는 'Username1 계정-bucket'으로 설정했다.)
• Location Type(위치 유형): Multi-Region (기본값)

참고

➡️ 생성 시 이런 팝업창이 뜨면 이 상태로 Confirm 버튼 클릭!

---

4. [Username1] Bucket에 파일 업로드

➡️ 파일 업로드 방법은 이전 포스트 내에 업로드 부분을 참고하여 진행하면 된다. (별도의 파일 접근 권한 등은 설정하지 않아도 된다.)

---

5. [Username2] Bucket 권한 확인

1) Username2로 Cloud Console 접속 후 Cloud Storage > Bucket 메뉴 선택

2) 3. 에서 Username1이 만든 Bucket 이 보이는 지 확인

---

6. [Username1] Project Viewer 권한 삭제

1) 네비게이션 메뉴 > IAM & Admin > IAM 메뉴

2) Username2 계정 옆에 편집(✏️) 버튼 클릭

3) 설정되어 있는 Viewer 권한을 삭제(🗑️)

---

7. [Username2] Project Viewer 권한 확인

➡️ 네비게이션 메뉴 > Cloud Storage > Bucket > Select a project > 2-3. 에서 확인했었던 Username1이 만든 Bucket이 목록에 보이지 않음을 확인 (=권한 없음)

---

8. [Username1] Cloud Storage 권한 추가

1) Username2 이름 복사

2) Username1의 Cloud Console 전환

3) 네비게이션 메뉴 > IAM & Admin > IAM 클릭

4) [+GRANT ACCESS] 버튼을 통해 권한 부여

설정 항목

1. New principlas: Username2 이름
2. Assign roles > Select a role > Cloud Storage > Storage Object Viewr 선택

---

9. [Username2] Access 확인

1) Username2 Cloud Console 전환

2) Storage Object Viewer 권한 확인

참고💡

Username2는 Project Viewer 권한이 없어서 콘솔에서 프로젝트 또는 프로젝트의 리소스를 볼 수 없다. 하지만 이전 8. 번에서 Cloud Storage에 대한 특정 액세스 권한인 Storage Object Viewer을 부여 받았으므로 Cloud Storage 버킷에 대한 보기 권한이 있다.

a. Cloud Shell을 활성화한다.
b. 다음의 명령어를 입력한다.

gsutil ls gs://[YOUR_BUCKET_NAME]
#Bucket의 이름은 Cloud Storage > Bucket 에서 만든 이름이다.

c. 출력 결과 확인

gs://[YOUR_BUCKET_NAME]/sample.txt

➡️ Username2 에게 Cloud Storage 버킷에 대한 보기 권한이 부여되어 버킷 안에 있는 목록들을 조회할 수 있게 되었다.