본문 바로가기
CSP (Cloud Service Provider)/GCP

[GCP] Service Account Key Disable/Enable

by BTC_ryul 2023. 6. 23.

베하 ~~~! 엄…팀입니다.

 

 

이번 주제에서는 GCP Service Account Key Disable에 대해서 알아보겠습니다.

(GCP는 AWS와는 다르게 콘솔에서 Access Key에 대해 Disable 할 수 있는 기능이 제공되지 않습니다)

 

요즘 클라우드 환경에서는 Access Key를 사용하는 것이 관리가 힘들고, 보안상 취약한 부분이 많아 점차 Keyless 형태로 많이 가고 있는 추세입니다. 하지만 실제 프로덕션에서 여전히 Access Key를 사용하는 경우가 많고, GCP에서는 기본적으로 Access Key에 대한 만료일이 없기 때문에 주기적으로(90일 이내) 로테이션을 해서 사용해야 합니다.

 

Access Key를 로테이션할 시에는 새로운 Key를 추가로 생성하고, 이 Key에 대한 정상 동작이 확인이 되면 기존의 Key를 삭제합니다. 하지만 기존의 Access Key를 바로 삭제하긴 부담스러울 수 있는데 이때 바로 삭제가 아닌 Disable/Enable 기능을 이용해서 더 안전하게 클라우드 환경을 운영할 수 있습니다.

 

 

Required Role

 

Command(gcloud)

gcloud iam service-accounts keys disable "KEY_ID" \\
--project="bespin-uhmm" \\
--iam-account="bespim-uhmm-sa@bespim-uhmm.iam.gserviceaccount.com"

gcloud iam service-accounts keys enable "KEY_ID" \\
--project="bespin-uhmm" \\
--iam-account="bespin-uhmm-sa@bespin-uhmm-dev.iam.gserviceaccount.com"

ex) "Key ID" = "51293b1ef21527f7a9635c5c11816a894eaad8887"

 

Reference

댓글