[GCP] Service Account 생성

간단하게 프로젝트를 하고 있는데 terraform을 사용하여 인프라를 코드로 관리할 것이다. 다만 이 때, 서비스 계정이 필요하므로 이에 대해 설명하겠다. 우선 Service Account는 무엇일까?

Service Account란?

Service Account는 일반적으로 사용자가 아닌 Compute Engine 인스턴스와 같은 애플리케이션 또는 컴퓨팅 워크로드에서 사용하는 특별한 유형의 계정이다. 서비스 계정은 계정 고유의 이메일 주소로 식별된다.

애플리케이션은 서비스 계정을 사용해 인증된 API 호출을 수행하는데, 이 인증은 서비스 계정 자체로 이루어지거나  Google Workspace 또는 도메인 전체 위임을 통해 Cloud ID 사용자로서 이루어진다. 애플리케이션이 서비스 계정으로 인증되면 서비스 계정에 액세스 권한이 있는 모든 리소스에 액세스할 수 있다.

애플리케이션이 서비스 계정으로 인증하도록 하는 가장 일반적인 방법은 애플리케이션을 실행하는 리소스에 서비스 계정을 연결하는 것이다. 예를 들어 Compute Engine 인스턴스에 서비스 계정을 연결하여 해당 인스턴스에서 실행 중인 애플리케이션이 서비스 계정으로 인증되도록 할 수 있다. 그런 다음 서비스 계정에 IAM 역할을 부여하여 서비스 계정, 더 나아가 인스턴스의 애플리케이션이 Google Cloud 리소스에 액세스하도록 할 수 있다.

애플리케이션이 서비스 계정을 연결하는 것 외에도 서비스 계정으로 인증하도록 하는 다른 방법이 있다. 예를 들어 워크로드 아이덴티티 제휴를 설정하여 외부 워크로드를 서비스 계정으로 인증하도록 허용하거나 서비스 계정 키를 만들어 모든 환경에서 이를 사용하여 OAuth2.0 액세스 토큰을 가져올 수 있다.

Service Account  생성하기

이제 콘솔로 서비스 계정을 생성해보겠다. 서비스 계정 세부정보에서 사용하고자하는 이름을 작성하고 계속을 누르면 아래와 같은 화면이 보일 것이다.

나는 terraform을 이용해서 가상 인스턴스, GKE 클러스터, 데이터베이스, VPC를 만들 것이므로 위와 같이 권한을 주었다. 권한을 줄 때 가장 중요한 점은 최소한으로 줘야 한다는 것이다.

---

 

Service Account를  생성하는 것은 별로 어렵지 않다. 사실 AWS IAM이라는 명구글 로그인할 때 사용하는 계정을 AWS에서의 루트 사용자이이고, Service Account는 AWS로 생각하면 IAM 사용자 같은 것 같다. 정확한 내용은 아니기에 찾아본 후 다시 업데이트하겠다.