Deploy a Cloud Run service

내 진행 상황 확인하기

/ 20

Enable and add policy to IAP

내 진행 상황 확인하기

/ 30

Access User Identity Information

내 진행 상황 확인하기

/ 25

Use Cryptographic Verification

내 진행 상황 확인하기

/ 25

이 실습에는 학습을 지원하는 AI 도구가 통합되어 있을 수 있습니다.

GSP499

Google Cloud 사용자 주도형 실습

개요

이 실습에서는 Cloud Run을 사용하여 웹 애플리케이션을 최소 구성으로 빌드한 다음, IAP(Identity-Aware Proxy)를 사용하여 애플리케이션에 대한 액세스를 제한하고 사용자 ID 정보를 제공하는 다양한 방법을 살펴봅니다. 이 앱에는 아래의 기능이 있습니다.

  • 시작 페이지 표시
  • IAP에서 제공하는 사용자 ID 정보 액세스
  • 암호화 확인을 사용해 사용자 ID 정보의 스푸핑 방지

학습할 내용

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • Python을 사용하여 간단한 Cloud Run 서비스 작성 및 배포
  • IAP를 사용 설정하거나 중지하여 앱에 대한 액세스 제한
  • IAP에서 앱으로 사용자 ID 정보 가져오기
  • 스푸핑 차단을 위해 IAP의 정보를 암호화 방식으로 확인

기본 요건

Python 프로그래밍 언어에 대한 기본 지식이 있으면 학습에 도움이 됩니다.

이 실습은 Cloud Run과 IAP에 중점을 두고 진행됩니다. 따라서 이와 관련 없는 개념이나 코드 블록은 자세히 설명하지 않고 그냥 넘어가겠습니다. 다만, 필요할 때 복사해서 붙여넣을 수 있도록 제공은 됩니다.

IAP(Identity-Aware Proxy) 소개

웹 앱 사용자 인증이 필요한 경우가 많으며 일반적으로 앱에 특별한 프로그래밍이 필요합니다. Google Cloud 앱의 경우 이러한 역할을 IAP(Identity-Aware Proxy) 서비스에 넘길 수 있습니다. 일부 사용자로만 액세스를 제한해야 하는 경우 애플리케이션을 변경할 필요가 없습니다. 애플리케이션에서 사용자 ID를 알아야 하는 경우(예: 사용자 환경설정을 서버 측에 유지하기 위해) IAP(Identity-Aware Proxy)는 최소한의 애플리케이션 코드로 이를 제공할 수 있습니다.

IAP(Identity-Aware Proxy)란?

IAP(Identity-Aware Proxy)는 애플리케이션으로 전송되는 웹 요청을 가로채고, Google ID 서비스를 사용하여 요청하는 사용자를 인증한 후, 승인된 사용자가 보내는 요청만을 허용하는 Google Cloud 서비스입니다. 또한 인증된 사용자에 대한 정보를 포함하도록 요청 헤더를 수정할 수 있습니다.

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

  • 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)
참고: 이 실습을 실행하려면 시크릿 모드(권장) 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.
  • 실습을 완료하기에 충분한 시간(실습을 시작하고 나면 일시중지할 수 없음)
참고: 이 실습에는 학습자 계정만 사용하세요. 다른 Google Cloud 계정을 사용하는 경우 해당 계정에 비용이 청구될 수 있습니다.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

  1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 대화상자가 열립니다. 오른쪽에는 다음과 같은 항목이 포함된 실습 설정 및 액세스 패널이 있습니다.

    • Google Cloud 콘솔 열기 버튼
    • 이 실습에 사용해야 하는 임시 사용자 인증 정보(사용자 이름 및 비밀번호)
    • 필요한 경우 실습 진행을 위한 기타 정보

    실습 타이머는 페이지 상단에 있으며 남은 시간을 표시합니다.

  2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

    실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

    팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

    참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.
  3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

    {{{user_0.username | "Username"}}}

    실습 설정 및 액세스 패널에서도 사용자 이름을 확인할 수 있습니다.

  4. 다음을 클릭합니다.

  5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

    {{{user_0.password | "Password"}}}

    실습 설정 및 액세스 패널에서도 비밀번호를 확인할 수 있습니다.

  6. 다음을 클릭합니다.

    중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.
  7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

    • 이용약관에 동의하세요.
    • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
    • 무료 체험판을 신청하지 마세요.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스에 액세스하려면 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다. 탐색 메뉴 아이콘 및 검색창

Cloud Shell 활성화

Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

  1. Google Cloud 콘솔 상단에서 Cloud Shell 활성화 Cloud Shell 활성화 아이콘를 클릭합니다.

  2. 다음 창을 클릭합니다.

    • Cloud Shell 정보 창을 통해 계속 진행합니다.
    • 사용자 인증 정보를 사용하여 Google Cloud API를 호출할 수 있도록 Cloud Shell을 승인합니다.

연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 학습자의 PROJECT_ID, (으)로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

  1. (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.
gcloud auth list
  1. 승인을 클릭합니다.

출력:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.
gcloud config list project

출력:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참고하세요.

코드 다운로드

명령어를 입력할 수 있도록 Cloud Shell에서 명령줄 영역을 클릭합니다.

공개 스토리지 버킷에서 코드를 다운로드한 다음 코드 폴더로 변경합니다.

gcloud storage cp gs://{{{project_0.project_id}}}-bucket/user-authentication-with-iap.zip . unzip user-authentication-with-iap.zip cd user-authentication-with-iap

이 폴더에는 이 실습의 각 단계에 대한 하위 폴더가 하나씩 포함되어 있습니다. 각 단계를 수행하기 위해 올바른 폴더로 변경합니다.

작업 1. 애플리케이션 배포 및 IAP로 보호

이 서비스는 Python으로 작성된 Cloud Run 서비스로, 'Hello, World' 시작 페이지를 표시하는 역할만 합니다. 이 애플리케이션을 배포하고 테스트한 다음 IAP를 사용하여 액세스를 제한합니다.

애플리케이션 코드 검토

  • 기본 프로젝트 폴더에서 이 단계의 코드가 포함된 1-HelloWorld 하위 폴더로 변경합니다.
cd 1-HelloWorld

애플리케이션 코드는 main.py 파일에 있습니다. 이 코드는 Flask 웹 프레임워크를 사용하여 템플릿의 콘텐츠로 웹 요청에 응답합니다. 해당 템플릿 파일은 templates/index.html에 있으며 이 단계에서는 일반 HTML만 포함합니다. 두 번째 템플릿 파일은 templates/privacy.html에 있으며 기본 예시 개인정보처리방침을 포함합니다.

또 다른 파일인 requirements.txt에는 애플리케이션이 사용하는 기본값이 아닌 모든 Python 라이브러리가 나열되어 있습니다.

다음과 같이 cat 명령어를 사용하여 셸의 각 파일을 나열할 수 있습니다:

cat main.py

또는 Cloud Shell 툴바에서 편집기 열기(연필) 아이콘을 클릭하여 Cloud Shell 코드 편집기를 시작한 다음, 코드를 검사할 수도 있습니다.

이 단계에서는 파일을 변경할 필요가 없습니다.

Cloud Run에 배포

  1. Cloud Run에 앱 배포:
gcloud run deploy user-auth-lab --source . --allow-unauthenticated --region={{{ project_0.default_region | "REGION" }}}
  1. API를 사용 설정하라는 메시지가 표시되면 Y를 입력합니다. 계속하려면 Artifact Registry 저장소를 만들라는 메시지가 표시되었을 때 '예'라는 의미로 Y를 입력합니다.

몇 분 안에 배포가 완료됩니다. 서비스 URL이 포함된 메시지가 표시됩니다.

  1. 표시된 서비스 URL을 새 브라우저 탭에서 열어 웹페이지를 확인합니다. 아직 액세스가 제한되지 않았습니다.

IAP Hello World 탭 페이지

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Cloud Run 서비스 배포

IAP로 액세스 제한

  1. Google Cloud 콘솔의 탐색 메뉴(탐색 메뉴 아이콘)에서 보안 > IAP(Identity-Aware Proxy)를 클릭합니다.

  2. API 사용 설정을 클릭합니다.

  3. IAP(Identity-Aware Proxy)로 이동을 클릭합니다.

  4. user-auth-lab 옆에 있는 IAP 열에서 전환 버튼을 클릭하여 IAP를 사용 설정합니다.

  5. 사용 설정을 클릭하여 확인합니다.

IAP가 사용 설정되어 있는지 테스트

  1. 새 브라우저 탭을 열고 앱의 URL로 이동합니다. Google 계정으로 로그인 페이지가 열립니다.

  2. 콘솔에 로그인하는 데 사용한 학생 계정 사용자 인증 정보로 로그인합니다.

    액세스를 거부하는 화면이 표시됩니다. IAP를 사용하여 앱을 성공적으로 보호했지만, 아직 사용자 계정을 승인하지 않았습니다.

  3. 콘솔의 IAP(Identity-Aware Proxy) 페이지로 돌아갑니다.

  4. user-auth-lab Cloud Run 서비스 옆에 있는 체크박스를 선택하여 오른쪽에 세부정보 사이드바를 엽니다.

  5. 보안 주체 추가를 클릭합니다.

  6. 새 보안 주체에 학생 이메일 주소를 입력합니다.

  7. 역할 선택에서 Cloud IAP > IAP 보안 웹 앱 사용자를 선택합니다.

  8. 저장을 클릭합니다. 페이지 하단에 '정책 업데이트됨' 메시지가 표시됩니다.

  9. 앱으로 다시 이동하여 페이지를 새로고침합니다. 승인된 계정으로 이미 로그인했으므로 이제 웹 앱이 표시됩니다.

참고: 역할 변경이 적용되는 데 약 1분 정도 걸립니다 페이지에 '액세스 권한이 없습니다'라는 메시지가 계속 표시되는 경우 잠시 기다렸다가 페이지를 새로고침합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 정책 사용 설정 및 IAP에 추가

'액세스 거부됨' 페이지가 계속 표시되면 IAP 로그인 쿠키를 지우세요.

  1. 서비스 URL 끝에 /_gcp_iap/clear_login_cookie를 추가하고(예: https://user-auth-lab-[random-hash].run.app/_gcp_iap/clear_login_cookie) 해당 URL을 엽니다.
  2. 새로운 Google 계정으로 로그인 페이지가 표시되면 다른 계정 사용을 클릭하고 학생 사용자 인증 정보를 다시 입력합니다.

작업 2. 사용자 ID 정보에 액세스하기

IAP로 보호되는 앱은 IAP가 웹 요청 헤더에 제공하는 ID 정보를 사용할 수 있습니다. 애플리케이션은 로그인한 사용자의 이메일 주소와 Google ID 서비스가 해당 사용자에게 할당한 영구 순 사용자 ID를 가져옵니다. 해당 데이터는 시작 페이지에서 사용자에게 표시됩니다.

  • Cloud Shell에서 이 단계의 폴더로 변경합니다.
cd ~/user-authentication-with-iap/2-HelloUser

Cloud Run에 배포

  1. Cloud Run에 앱 배포:
gcloud run deploy user-auth-lab --source . --region={{{ project_0.default_region | "REGION" }}}
  1. 계속할지 묻는 메시지가 표시되면 '예'라는 의미로 Y를 입력합니다.

몇 분 안에 배포가 완료됩니다. 기다리는 동안 아래 설명된 대로 애플리케이션 파일을 검사할 수 있습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 사용자 ID 정보에 액세스하기

애플리케이션 파일 검사

  1. cat 명령어를 사용하여 Cloud Shell에서 기본 애플리케이션 파일을 확인합니다.
cat main.py
  1. 템플릿 파일을 검토해 사용자 데이터가 표시되는 방식을 확인합니다.
cat templates/index.html

이 폴더에는 이전에 배포한 앱인 1-HelloWorld에 표시된 것과 동일한 파일 세트가 포함되어 있지만, 해당 파일 중 2개(main.pytemplate/index.html)가 변경되었습니다. 요청 헤더에 IAP가 제공하는 사용자 정보를 검색하도록 프로그램이 변경되었으며 이제 템플릿에 해당 데이터가 표시됩니다.

main.py에는 IAP 제공 ID 데이터를 가져오는 두 줄이 있습니다.

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 헤더는 IAP에서 제공한 것입니다. 이름은 대소문자를 구분하지 않으므로 원하는 경우 모두 소문자로 지정하거나 모두 대문자로 지정할 수 있습니다. 이제 render_template 문에 해당 값이 포함되어 표시될 수 있습니다.

page = render_template('index.html', email=user_email, id=user_id)

index.html 템플릿은 이름을 이중 중괄호로 묶어 해당 값을 표시할 수 있습니다.

Hello, {{ email }}! Your persistent ID is {{ id }}.

여기서 볼 수 있듯이 제공된 데이터에는 account.google.com이라는 프리픽스가 붙어 정보의 출처를 보여줍니다. 원하는 경우 애플리케이션에서 콜론을 포함한 모든 것을 삭제하여 원시 값을 가져올 수 있습니다.

업데이트된 앱 테스트

  1. 애플리케이션의 URL을 가져옵니다.
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
  1. 새 브라우저 탭에서 해당 URL을 엽니다.
  2. 필요한 경우 페이지를 새로고침하여 이메일 주소와 영구 ID가 표시되는지 확인합니다.

IAP 사용 중지

IAP가 사용 중지되거나 우회되면 이 앱은 어떻게 될까요? IAP를 사용 중지하고 확인해 보겠습니다.

  1. Cloud 콘솔 창의 탐색 메뉴에서 보안 > IAP(Identity-Aware Proxy)를 클릭합니다.
  2. Cloud Run 서비스(예: user-auth-lab) 옆에 있는 IAP 전환 스위치를 클릭하여 IAP를 사용 중지합니다.
  3. 공개 액세스 허용을 클릭합니다.
  4. 애플리케이션 웹페이지를 새로고침합니다. 사용자 정보 없이 동일한 페이지가 표시됩니다.

이제 애플리케이션이 보호되지 않으므로 사용자는 IAP를 통해 도달한 것처럼 보이는 웹 요청을 보낼 수 있습니다. 예를 들어 Cloud Shell에서 다음 curl 명령어를 실행합니다 (<your-url-here>를 앱의 URL로 변경).

curl -X GET YOUR_URL -H "X-Goog-Authenticated-User-Email: totally fake email"

웹페이지가 명령줄에 표시되고 가짜 이메일이 표시됩니다.

<!doctype html> <html> <head> <title>IAP Hello User</title> </head> <body> <h1>Hello World</h1> <p> Hello, totally fake email! Your persistent ID is None. </p> <p> This is step 2 of the User Authentication with IAP</em> codelab. </p> </body> </html>

애플리케이션에서 IAP가 사용 중지되었거나 우회되었음을 알 수 있는 방법이 없습니다. 잠재적인 위험이 있는 경우 암호화 확인을 통해 솔루션을 알 수 있습니다.

작업 3. 암호화 확인 사용

IAP가 사용 중지되거나 우회될 위험이 있는 경우 앱은 수신되는 ID 정보가 유효한지 확인할 수 있습니다. 이를 위해 IAP에서 추가한 X-Goog-IAP-JWT-Assertion이라는 세 번째 웹 요청 헤더를 사용합니다. 헤더의 값은 사용자 ID 데이터도 포함하는 암호화 방식으로 서명된 객체입니다. 애플리케이션은 디지털 서명을 확인하고 이 객체에 제공된 데이터를 사용하여 IAP에서 변경 없이 제공했는지 확인할 수 있습니다.

디지털 서명 확인에는 최신 Google 공개 키 검색과 같은 몇 가지 추가 단계가 필요합니다. 다른 사용자가 IAP를 사용 중지하거나 우회할 수 있는 위험과 애플리케이션의 민감도를 기반으로 애플리케이션에 이러한 추가 단계가 필요한지 여부를 결정할 수 있습니다.

  • Cloud Shell에서 이 단계의 폴더로 변경합니다.
cd ~/user-authentication-with-iap/3-HelloVerifiedUser

Cloud Run에 배포

  1. IAP 보안 Cloud Run 서비스의 서명된 헤더 JWT 대상 클라이언트 ID를 찾습니다.

    • Cloud 콘솔에서 IAP(Identity-Aware Proxy) 페이지로 이동합니다.

    • 목록에서 user-auth-lab을 찾습니다.

    • 참고: (표 하단의 가로 스크롤바를 이용해) 리소스 표를 오른쪽으로 스크롤하여 맨 오른쪽에 있는 작업 열을 표시해야 할 수도 있습니다.

    • 작업에서 리소스 옆에 있는 세로 점 3개 버튼을 클릭하고 JWT 대상 코드 가져오기를 선택합니다.

    • 표시되는 모달에서, 표시된 클라이언트 ID 문자열을 복사하여 텍스트 편집기에 붙여넣고 확인을 선택합니다.

  2. 복사한 클라이언트 ID 값으로 IAP_AUDIENCE 환경 변수를 설정하여 Cloud Run에 앱을 배포합니다.

gcloud run deploy user-auth-lab --source . --set-env-vars IAP_AUDIENCE="YOUR_CLIENT_ID" --region={{{ project_0.default_region | "REGION" }}}
  1. 계속할지 묻는 메시지가 표시되면 '예'라는 의미로 Y를 입력합니다.

몇 분 안에 배포가 완료됩니다. 기다리는 동안 아래 설명된 대로 애플리케이션 파일을 검사할 수 있습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 암호화 확인 사용

애플리케이션 파일 검사

  1. cat 명령어를 사용하여 Cloud Shell에서 새 인증 도우미 파일을 확인합니다.
cat auth.py
  1. 기본 애플리케이션 파일을 검토하여 인증된 사용자 메서드가 통합되는 방식을 확인합니다.
cat main.py

이 폴더에는 2-HelloUser에 표시된 것과 동일한 파일 세트가 포함되어 있는데, 2개 파일은 변경되었고 1개 파일은 새로 추가되었습니다. 새 파일은 auth.py이며, 이는 암호화 방식으로 서명된 ID 정보를 검색하고 확인하기 위한 user() 메서드를 제공합니다. 변경된 파일은 main.pytemplate/index.html이며, 이는 해당 메서드의 결과를 사용합니다. 비교를 위해 마지막 배포에서 발견된 확인되지 않은 헤더도 표시됩니다.

  • 새로운 기능은 주로 user() 함수에 있습니다.
def user(): assertion = request.headers.get('X-Goog-IAP-JWT-Assertion') if assertion is None: return None, None info = jwt.decode( assertion, keys(), algorithms=['ES256'], audience=audience() ) return info['email'], info['sub']

assertion은 지정된 요청 헤더에 제공되는 암호화 방식으로 서명된 데이터입니다. 코드는 라이브러리를 사용하여 해당 데이터의 유효성을 검사하고 디코딩합니다. 유효성 검사에서는 서명된 데이터를 확인하고 데이터가 준비된 대상(기본적으로 보호 중인 Google Cloud 프로젝트)을 파악하기 위해 Google에서 제공하는 공개 키를 사용합니다. 도우미 함수인 key()audience()는 해당 값을 수집하고 반환합니다.

서명된 객체에는 확인된 이메일 주소와 고유 ID 값(구독자의 경우 sub 표준 필드에 제공됨)이라는 두 가지 데이터가 필요합니다.

이것으로 3단계가 완료됩니다.

암호화 확인 테스트

배포가 준비되면 다음 명령어를 사용하여 애플리케이션의 URL을 가져올 수 있습니다.

gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
  1. 새 브라우저 탭에서 해당 URL을 엽니다.
  2. 이전에 IAP를 사용 중지했으므로 애플리케이션은 IAP 데이터를 제공하지 않습니다. 이메일과 ID에 없음이 표시된 페이지가 나타나는지 확인합니다.
  3. 콘솔에서 IAP(Identity-Aware Proxy) 페이지로 돌아갑니다.
  4. Cloud Run 서비스 옆에 있는 IAP 전환 스위치를 클릭하여 IAP를 다시 사용 설정합니다.
  5. 사용 설정을 클릭하여 확인합니다.
  6. Cloud Shell에서 다음 명령어를 실행하여 IAP 서비스 에이전트에 Cloud Run 서비스를 호출할 수 있는 권한을 부여합니다.
gcloud run services add-iam-policy-binding user-auth-lab \ --member="serviceAccount:service-$(gcloud projects describe {{{project_0.project_id}}} --format='value(projectNumber)')@gcp-sa-iap.iam.gserviceaccount.com" \ --role="roles/run.invoker" \ --region={{{ project_0.default_region | "REGION" }}}
  1. 애플리케이션 페이지를 새로고침합니다. 암호화 서명된 이메일과 사용자 ID가 올바르게 표시되고 인증되었는지 확인합니다.

확인된 방법으로 제공한 이메일 주소에는 account.google.com: 프리픽스가 없습니다.

IAP가 사용 중지되거나 우회되는 경우 확인된 데이터는 Google의 비공개 키 소유자가 만든 것이 아니면 유효한 서명을 가질 수 없으므로 누락되거나 유효하지 않습니다.

수고하셨습니다

Cloud Run 서비스를 배포했습니다. 먼저, 선택한 사용자만 애플리케이션에 액세스할 수 있도록 제한했습니다. 그런 다음 IAP가 애플리케이션에 대한 액세스를 허용한 사용자의 ID를 검색 및 표시했으며, IAP가 사용 중지되거나 우회된 경우 해당 정보가 어떻게 스푸핑될 수 있는지 확인했습니다. 마지막으로 스푸핑될 수 없는 사용자 ID의 암호화 방식으로 서명된 어설션을 확인했습니다.

다음 단계/더 학습하기

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2026년 5월 28일

실습 최종 테스트: 2026년 5월 28일

Copyright 2026 Google LLC. All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.

시작하기 전에

  1. 실습에서는 정해진 기간 동안 Google Cloud 프로젝트와 리소스를 만듭니다.
  2. 실습에는 시간 제한이 있으며 일시중지 기능이 없습니다. 실습을 종료하면 처음부터 다시 시작해야 합니다.
  3. 화면 왼쪽 상단에서 실습 시작을 클릭하여 시작합니다.

시크릿 브라우징 사용

  1. 실습에 입력한 사용자 이름비밀번호를 복사합니다.
  2. 비공개 모드에서 콘솔 열기를 클릭합니다.

콘솔에 로그인

    실습 사용자 인증 정보를 사용하여
  1. 로그인합니다. 다른 사용자 인증 정보를 사용하면 오류가 발생하거나 요금이 부과될 수 있습니다.
  2. 약관에 동의하고 리소스 복구 페이지를 건너뜁니다.
  3. 실습을 완료했거나 다시 시작하려고 하는 경우가 아니면 실습 종료를 클릭하지 마세요. 이 버튼을 클릭하면 작업 내용이 지워지고 프로젝트가 삭제됩니다.

현재 이 콘텐츠를 이용할 수 없습니다

이용할 수 있게 되면 이메일로 알려드리겠습니다.

감사합니다

이용할 수 있게 되면 이메일로 알려드리겠습니다.

한 번에 실습 1개만 가능

모든 기존 실습을 종료하고 이 실습을 시작할지 확인하세요.

시크릿 브라우징을 사용하여 실습 실행하기

이 실습을 실행하는 가장 좋은 방법은 시크릿 모드 또는 시크릿 브라우저 창을 사용하는 것입니다. 개인 계정과 학생 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

실습을 시작하려면 이 간단한 단계를 완료하세요.