GSP946

개요

제로 트러스트 보안 모델은 사람, 기기, 네트워크 간에 내제된 신뢰 관계가 존재하지 않는 모델입니다. 액세스 권한은 ID, 기기, 위치, 시간을 포함하되 이에 국한되지 않는 다양한 요소를 기반으로 부여됩니다. 제로 트러스트 정책 시행의 주요 사용 사례 중 하나는 Google Cloud 또는 온프레미스 데이터 센터에서 호스팅된 HTTP/HTTPS 기반 애플리케이션과 같은 웹 애플리케이션에 대한 안전한 액세스를 제공하는 것입니다. 각 웹 애플리케이션은 정밀한 보안과 낮은 위험을 위해 자체 액세스 제어를 가질 수 있습니다. 웹 애플리케이션을 보호하기 위해 액세스 제어 목록(ACL)을 설정할 필요가 없습니다. 대신 IP 범위를 설정하면 보안을 저해하지 않으면서도 빠른 온보딩을 지원할 수 있습니다. 아키텍처 측면에서 제로 트러스트 액세스를 제공하기 위한 기본 구성요소는 다음과 같습니다.

• IAP(Identity-Aware Proxy) - 모든 액세스 요청이 승인되도록 보장하는 정책 시행 엔진

이 실습에서는 App Engine에 샘플 애플리케이션을 배포하고 IAP(Identity-Aware Proxy)를 사용하여 정책을 적용합니다. 또한 IAP로 보호되는 애플리케이션에서 사용자 ID 정보를 가져옵니다.

학습 목표

• Python을 사용하여 간단한 App Engine 애플리케이션을 배포합니다.
• IAP(Identity-Aware Proxy)를 사용 설정하여 애플리케이션에 대한 액세스를 제한합니다.
• 애플리케이션에서 IAP로부터 사용자 ID 정보를 가져옵니다.

기본 요건

기본 프로그래밍 언어 지식(Python)

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드(권장) 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간(실습을 시작하고 나면 일시중지할 수 없음)

참고: 이 실습에는 학습자 계정만 사용하세요. 다른 Google Cloud 계정을 사용하는 경우 해당 계정에 비용이 청구될 수 있습니다.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 대화상자가 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 창이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 창에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 창에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스에 액세스하려면 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

Cloud Shell 활성화

Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Google Cloud 콘솔 상단에서 Cloud Shell 활성화 를 클릭합니다.

2. 다음 창을 클릭합니다.

   • Cloud Shell 정보 창을 통해 계속 진행합니다.
   • 사용자 인증 정보를 사용하여 Google Cloud API를 호출할 수 있도록 Cloud Shell을 승인합니다.

연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 학습자의 PROJECT_ID, (으)로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

3. (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.

gcloud auth list

4. 승인을 클릭합니다.

출력:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.

gcloud config list project

출력:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참고하세요.

시나리오

여러분은 Google App Engine을 사용하여 웹 애플리케이션을 최소 구성으로 빌드한 다음, IAP(Identity-Aware Proxy)를 사용하여 애플리케이션에 대한 액세스를 제한하고 사용자 ID 정보를 제공하는 다양한 방법을 살펴볼 것입니다. 이 앱에는 아래의 기능이 있습니다.

• 시작 페이지 표시
• IAP에서 제공하는 사용자 ID 정보에 액세스

작업 1. 애플리케이션을 배포하고 IAP를 사용하여 보호하기

애플리케이션은 Python 3.8로 작성된 App Engine 표준 애플리케이션으로, 단순히 'Hello, World' 시작 페이지를 표시합니다. 이 애플리케이션을 배포하고 테스트한 다음 IAP를 사용하여 액세스를 제한할 것입니다.

• Cloud Shell에서 다음을 실행하여 GitHub에서 이 실습에 필요한 코드를 다운로드한 다음 코드 폴더로 디렉터리를 변경합니다.

git clone https://github.com/googlecodelabs/user-authentication-with-iap.git cd user-authentication-with-iap

애플리케이션 코드 검토하기

• 기본 프로젝트 폴더에서 1-HelloWorld 폴더로 디렉터리를 변경합니다.

cd 1-HelloWorld

애플리케이션 코드는 main.py 파일에 있습니다. 이 코드는 Flask 웹 프레임워크를 사용하여 템플릿의 콘텐츠로 웹 요청에 응답합니다. 해당 템플릿 파일은 templates/index.html에 있으며 이 단계에서는 일반 HTML만 포함합니다. 두 번째 템플릿 파일은 templates/privacy.html에 있으며 기본 예시 개인정보처리방침을 포함합니다.

그밖에 파일이 2개 있습니다. 하나는 requirements.txt로, 애플리케이션이 사용하는 기본값이 아닌 모든 Python 라이브러리가 나열되어 있습니다. 다른 하나는 app.yaml로, 이 애플리케이션이 Python 3.8 App Engine 애플리케이션임을 Google Cloud Platform에 알려 줍니다.

Cloud Shell에서 cat 명령어를 사용하여 각 파일을 나열할 수 있습니다.

cat main.py

Cloud Shell 창의 오른쪽 상단에 있는 수정()을 클릭하여 Cloud Shell 코드 편집기를 연 다음 편집기를 사용하여 코드를 검토할 수도 있습니다.

이 단계에서는 파일을 변경할 필요가 없습니다.

App Engine에 애플리케이션 배포하기

이번에는 Python 3.8용 App Engine 표준 환경에 앱을 배포합니다.

1. 다음 명령어를 실행합니다.

gcloud app create --project=$(gcloud config get-value project) --region={{{ project_0.startup_script.app_region | REGION }}}

계속 진행할지 묻는 메시지가 표시되면 예에 해당하는 Y를 입력합니다.

App Engine 앱을 만들기 위해 이루어진 호출을 승인하라는 메시지가 표시될 수도 있습니다. 이 경우 승인 버튼을 클릭합니다.

2. Cloud Shell 코드 편집기에서 1-HelloWorld 폴더의 app.yaml 파일을 살펴봅니다. 그런 다음 런타임 Python 버전을 업데이트합니다.

runtime: python310

3. create 명령어가 완료되면 다음 명령어를 실행합니다.

gcloud app deploy

계속 설치할지 묻는 메시지가 표시되면 Y를 입력하고 Enter를 누릅니다.

참고: 오류가 표시되면 명령어를 다시 실행하여 오류를 방지하세요.

몇 분이 지나면 배포가 완료되고 다음 명령어로 애플리케이션을 볼 수 있다는 메시지가 표시될 것입니다.

gcloud app browse 참고: 이 앱을 처음 실행하는 것이므로 클라우드 인스턴스가 시작되는 동안 앱이 표시되기까지 몇 초 정도 걸립니다. 이제 다음 이미지와 같은 결과가 표시됩니다. 액세스는 아직 제한되지 않았습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. App Engine에 애플리케이션 배포하기

IAP로 액세스 제한하기

1. 탐색 메뉴 > 모든 제품 보기 > 보안 > IAP(Identity-Aware Proxy)로 이동하여 API 사용 설정 버튼을 클릭한 다음 IAP(Identity-Aware Proxy)로 이동을 클릭합니다.

2. 프로젝트의 OAuth 동의 화면을 구성하려면 탐색 메뉴 () > API 및 서비스 > OAuth 동의 화면으로 이동합니다.

3. 'OAuth 개요' 페이지에서 시작하기를 클릭한 다음 앱 이름으로 IAP Example을 입력합니다.

4. 사용자 지원 이메일 주소로 을 입력합니다.

5. 대상에서 내부를 선택하고 다음을 클릭합니다.

6. 연락처 정보에서 4단계와 동일한 이메일 주소를 입력하고 다음을 클릭합니다.

7. 완료에서 이용약관에 동의 체크박스를 선택한 다음 만들기를 클릭합니다.

8. 첫 번째 브라우저 탭으로 돌아가서 Cloud Shell에서 다음 명령어를 실행합니다.

export AUTH_DOMAIN=$(gcloud config get-value project).uc.r.appspot.com

명령어의 출력을 OAuth 동의 탭 양식의 입력으로 사용해야 하므로 URL을 복사합니다.

9. 채워진 값을 보려면 다음을 실행합니다.

echo $AUTH_DOMAIN

10. OAuth 개요 페이지에서 OAuth 클라이언트 만들기를 클릭하고 애플리케이션 유형으로 웹 애플리케이션을 선택합니다.

11. 승인된 리디렉션 URI에서 + URL 추가를 클릭한 다음 명령어 출력으로 받은 URL을 입력하고 만들기를 클릭합니다.

12. 남은 탭에서 탐색 메뉴 > 모든 제품 보기 > 보안 > IAP(Identity-Aware Proxy)로 이동합니다.

필요한 경우 페이지를 새로고침해야 할 수 있습니다.

13. App Engine 앱 행의 IAP 열에서 전환 버튼을 클릭하여 이전 섹션에서 배포한 애플리케이션에 대해 IAP를 사용 설정합니다.

14. Ctrl/Command 키를 누른 상태에서 IAP 콘솔의 App Engine 애플리케이션 URL을 선택하여 애플리케이션으로 이동합니다.

15. 로그인 양식에 표시된 학생 사용자로 로그인합니다.

애플리케이션에 액세스할 수 없다는 메시지가 표시된 화면이 나타납니다.

IAP를 사용하여 앱을 성공적으로 보호했지만 액세스를 허용할 계정을 IAP에 아직 지정하지 않았습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. IAP로 액세스 제한하기

구성원이 애플리케이션에 액세스하도록 허용하기

1. 탐색 메뉴 > 모든 제품 보기 > 보안 > IAP(Identity-Aware Proxy)로 이동하여 콘솔의 IAP(Identity-Aware Proxy) 페이지로 돌아갑니다.

2. App Engine 앱 옆에 있는 체크박스를 선택하고 페이지 오른쪽에 있는 사이드바에서 주 구성원 추가를 클릭합니다.

3. 실습 왼쪽 상단의 실습 콘솔에서 Username을 복사하여 새 주 구성원 입력 상자에 입력합니다.

4. 역할을 Cloud IAP > IAP-secured Web App User로 설정합니다.

5. 마쳤으면 저장을 클릭합니다. 창 하단에 '정책을 업데이트했습니다' 메시지가 표시됩니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 구성원이 애플리케이션에 액세스하도록 허용하기

액세스가 복원되었는지 확인하기

• App Engine 애플리케이션으로 다시 이동하여 페이지를 새로고침합니다. 승인한 사용자로 이미 로그인했으므로 이제 웹 앱이 표시됩니다.

단, 로그인 쿠키가 저장되어 있기 때문에 IAP가 승인을 다시 확인하지 않을 수 있으므로 'You don't have access' 페이지가 계속 표시될 수 있습니다.

이 경우 다음 단계를 수행합니다.

1. URL 끝에 /_gcp_iap/clear_login_cookie를 추가한 홈페이지 주소로 웹브라우저를 엽니다(예: https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie).

참고: 실습 초반에 배포한 App Engine 애플리케이션의 URL을 사용하세요. 위 URL은 예시입니다.

계정이 이미 표시되어 있는 Google 계정으로 로그인 화면이 새로 표시됩니다.

참고: 계정을 클릭하지 마세요.

2. 대신 다른 계정 사용을 클릭하고 사용자 인증 정보를 다시 입력하세요.

위 단계를 수행하면 IAP가 액세스를 다시 확인합니다. 이제 애플리케이션의 홈 화면이 표시됩니다.

작업 2. 사용자 ID 정보에 액세스하기

IAP로 보호되는 앱은 IAP가 웹 요청 헤더에 제공하는 ID 정보를 사용할 수 있습니다. 애플리케이션은 로그인한 사용자의 이메일 주소와 Google ID 서비스가 해당 사용자에게 할당한 영구 순 사용자 ID를 가져옵니다. 해당 데이터는 시작 페이지에서 사용자에게 표시됩니다.

1. Cloud Shell에서 다음 명령어를 입력합니다.

cd ~/user-authentication-with-iap/2-HelloUser

2. Cloud Shell 코드 편집기에서 2-HelloUser 폴더의 app.yaml 파일을 살펴보고 런타임 Python 버전을 업데이트합니다.

runtime: python310

3. 다음 명령어를 사용하여 App Engine에 배포합니다.

gcloud app deploy 참고: 애플리케이션 배포를 위한 호출을 승인하라는 메시지가 표시될 수 있습니다.

4. 계속할지 묻는 메시지가 나타나면 Y를 입력합니다.

5. 배포가 준비되면 다음 명령어를 입력합니다.

gcloud app browse

브라우저에서 새 탭이 열리지 않으면 표시된 링크를 복사하여 새 탭에서 엽니다. 다음과 비슷한 페이지가 표시됩니다.

참고: 새 버전의 애플리케이션이 이전 버전을 대체할 때까지 몇 분 정도 기다려야 할 수 있습니다. 필요한 경우 위와 비슷한 페이지가 표시되도록 페이지를 새로고침하세요.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 사용자 ID 정보에 액세스하기

애플리케이션 파일 검토하기

2-HelloUser 폴더에는 1-HelloWorld 폴더와 동일한 파일 세트가 포함되어 있으나, 이 중에서 2개의 파일(main.py 및 templates/index.html)이 변경되었습니다. IAP가 요청 헤더에 제공하는 사용자 정보를 가져오도록 프로그램이 변경되었으며, 템플릿에 이제 해당 데이터가 표시됩니다.

1. cat main.py를 실행하여 main.py 파일의 콘텐츠를 확인합니다.

main.py에는 IAP에서 제공하는 ID 데이터를 가져오는 두 줄이 있습니다.

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 헤더는 IAP에서 제공한 것입니다. 이름은 대소문자를 구분하지 않으므로 원하는 경우 모두 소문자로 지정하거나 모두 대문자로 지정할 수 있습니다. render_template 문에 이제 해당 값이 포함되므로 값이 표시될 수 있습니다.

page = render_template('index.html', email=user_email, id=user_id)

index.html 템플릿은 이름을 이중 중괄호로 묶어 해당 값을 표시할 수 있습니다.

Hello, {{ email }}! Your persistent ID is {{ id }}.

제공된 데이터에는 account.google.com:이라는 접두사가 붙어 정보의 출처를 보여 줍니다. 원하는 경우 애플리케이션에서 콜론을 포함한 접두사를 삭제하여 원시 값만 표시할 수 있습니다.

수고하셨습니다

IAP(Identity-Aware Proxy)를 사용하여 Google Cloud에 배포된 HTTP(s) 애플리케이션을 보호하는 방법을 배웠습니다.

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2025년 11월 12일

실습 최종 테스트: 2025년 11월 12일

Copyright 2026 Google LLC. All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.