Google Cloud Workload Identity Federation 및 IAM 정책

Google Cloud Workload Identity Federation 및 IAM 정책에 대해 설명합니다.

히스토리 GitLab 16.10에서 google_cloud_support_feature_flag 라는 플래그 와 함께 도입 됨. GitLab 17.1에서 GitLab.com에서 활성화 됨. 기능 플래그 google_cloud_support_feature_flag 제거됨. Google Artifact Management 통합 과 같은 Google Cloud 통합을 사용하려면 워크로드 아이덴티티 풀 및 공급자 를 생성하고 구성해야 합니다. Google Cloud 통합은 Workload Identity Federation을 사용하여 JSON Web Token(JWT) 토큰을 통해 OpenID Connect(OIDC)를 사용하여 GitLab 워크로드에 Google Cloud 리소스에 대한 액세스 권한을 부여합니다. Workload Identity Federation # Workload Identity Federation을 사용하면 Identity and Access Management(IAM)를 사용하여 외부 아이덴티티에 IAM 역할 을 부여할 수 있습니다. 전통적으로 Google Cloud 외부에서 실행되는 애플리케이션은 Google Cloud 리소스에 액세스하기 위해 서비스 계정 키 를 사용했습니다. 그러나 서비스 계정 키는 강력한 자격 증명이며, 올바르게 관리되지 않으면 보안 위험을 초래할 수 있습니다. 아이덴티티 페더레이션을 사용하면 Identity and Access Management(IAM)를 사용하여 서비스 계정 없이 외부 아이덴티티에 IAM 역할을 직접 부여할 수 있습니다. 이 방식은 서비스 계정과 해당 키와 관련된 유지 관리 및 보안 부담을 제거합니다. 워크로드 아이덴티티 풀 # _워크로드 아이덴티티 풀_은 Google Cloud에서 비-Google 아이덴티티를 관리할 수 있는 엔티티입니다. Google Cloud의 GitLab 통합은 Google Cloud에 인증하기 위한 워크로드 아이덴티티 풀 설정을 안내합니다. 이 설정에는 GitLab 역할 속성을 Google Cloud IAM 정책의 IAM 클레임에 매핑하는 것이 포함됩니다. Google Cloud의 GitLab 통합에 사용 가능한 GitLab 속성의 전체 목록은 OIDC 커스텀 클레임 을 참조하세요. 워크로드 아이덴티티 풀 공급자 # _워크로드 아이덴티티 풀 공급자_는 Google Cloud와 아이덴티티 공급자(IdP) 간의 관계를 설명하는 엔티티입니다. GitLab은 Google Cloud의 GitLab 통합을 위한 워크로드 아이덴티티 풀의 IdP입니다. 외부 워크로드의 아이덴티티 페더레이션에 대한 자세한 내용은 Workload Identity Federation 을 참조하세요. 기본 Google Cloud의 GitLab 통합은 GitLab 조직 수준에서 GitLab에서 Google Cloud로의 인증을 설정하려는 것을 가정합니다. 프로젝트별로 Google Cloud에 대한 액세스를 제어하려면 워크로드 아이덴티티 풀 공급자의 IAM 정책을 구성해야 합니다. GitLa