보안에 대한 중요성을 절감하고, 데이터와 계정의 안전성을 높이기 위해 IAM 계정 생성 및 2차 인증 시스템을 도입했습니다. 구글 클라우드에서 기본적으로 제공하는 사용자 계정 2단계 인증은 따로 비용이 책정되지 않으면서 보안을 강화할 수 있는 좋은 선택입니다. Google Authenticator 앱은 1분마다 6자리 숫자를 무작위로 생성해서 사용자의 2단계 인증을 지원합니다. Authenticator 앱 이외에도 여러 추가 인증 방식을 제공하지만 AWS와 GitHub 로그인시 OTP 앱을 사용하고 있었기에 GCP도 OTP앱으로 인증하는 방향으로 진행했습니다.
조직 생성 및 사용자 추가
조직 생성
기초 설정 에서 조직을 생성합니다. Cloud ID 및 조직 → CLOUD ID 가입을 진행합니다.
도메인을 입력해야 하는데 소유권을 인증하고 나서 사용 가능 하기 때문에 반드시 소유권을 가지고 있는 도메인으로 설정합니다.
사이트에 인증 코드를 추가해 도메인을 확인하고 나면 조직이 생성됩니다.
그룹 및 사용자 추가
Google Cloud 계정을 관리하는 Admin 콘솔(https://admin.google.com)에 로그인 하고 디렉토리 → 그룹 에서 그룹을 생성합니다. 보안 체크 박스를 체크 해야 합니다. 추후 생성 계정들은 모두 이 그룹에 추가하도록 하겠습니다.
그룹 생성 후에 사용자를 추가합니다. 사용자를 추가 할 때마다 월 6$ 비용이 드니 필수 인원 만큼만 생성합니다.
보안 → 인증 → 2단계 인증 탭으로 이동합니다. 그룹을 설정하고 2단계 인증 사용 체크 박스를 클릭하고 저장 합니다.
- 새 사용자 등록 기간
- 2단계 인증을 사용으로 설정하면 모든 사용자가 2단계 인증 설정이 되어 있어야 합니다. 하지만 새로운 사용자는 아직 2단계 설정이 되지 않았기 때문에 로그인이 실패합니다.
- 이 메뉴는 신규 사용자가 2단계 인증을 설정하도록 유예기간을 설정하는 것입니다. 새로운 사용자는 해당 기간 동안 2단계 인증을 설정하도록 우선은 2단계 인증에서 예외가 됩니다.
- 2차 인증 방법은 모두 다 가능하지만 OTP 사용을 권장 드립니다.
- 사용자가 기기를 신뢰하도록 허용 체크 박스를 해제합니다. 해당 박스를 체크하면 한번만 2차 인증을 해도 추후에 생략할 수 있습니다.
2차 인증 설정
최초 로그인 시에는 2단계 인증에 사용할 휴대 전화 번호를 등록해야 합니다.
- 입력한 전화번호로 문자 메시지가 도착합니다.
- 문자 메시지에 포함된 인증코드는 G-###### 형식의 6자리 숫자입니다.
- 전송받은 인증코드를 G-를 포함하여 모두 입력하고 다음을 클릭합니다.
설정한 2단계 인증 방식은 문자 메시지로 설정되었기 때문에 향후 Google Cloud에 로그인하는 경우 문자 메시지로 인증 코드가 전송됩니다.
Google Authenticator를 사용하려면 2단계 인증에서 인증 단계를 추가하고 기본 인증 수단을 변경해야 합니다. 보안 설정 으로 이동합니다.
2단계 인증 시작하기를 누르고 OTP 앱을 선택합니다. OTP 앱을 선택하기 전에 사용자 휴대전화기에는 Google Authenticator를 설치해야 합니다.
휴대전화에서 Google Authenticator 프로그램을 실행하고 + 버튼을 클릭하고 QR코드 스캔을 선택합니다. 휴대전화를 이용해서 컴퓨터 모니터에 보이는 QR코드를 스캔하면 해당 계정이 자동으로 등록됩니다. 컴퓨터 화면에서 다음을 클릭합니다. 인증자 앱 설정 메뉴 화면에서 Google Authenticator에 등록된 계정의 인증 번호(6자리 숫자)를 입력합니다. 입력이 성공했으면 인증 단계 추가가 성공한 것입니다. 이제 2단계 인증 수단으로 OTP를 사용할 수 있게 되었습니다.
IAM 설정
프로젝트의 권한을 그룹별로 할당했습니다. 자세한 설명은 생략합니다. 한 그룹에 초과 권한이 많다면 그룹을 쪼개서 할당하는 방향으로 진행하셔야 합니다.
참고
https://cloud.google.com/blog/ko/products/identity-security/gcp-configure-2sv-for-console-users-
좋은 정보 얻어갑니다, 감사합니다.