GCP158 최소권한 관리 안녕하세요~ BTC Hallo팀입니다. 이번에는 보안에 관련하여 권한에 대한 소개글 입니다. 클라우드 보안에 있어서 권한은 매우 민감한 문제 입니다. VPC Service control이나 Cloud Amor 같은 부가적인 보안 시스템을 이용하지 않는 환경에서는 더욱 중요하다고 볼 수 있습니다. 방화벽과 함께 보안에서 가장 큰 부분을 차지하는 권한, 이번에는 그 중에서도 권한을 최소로 관리하는 방법에 대해서 알아보겠습니다. 클라우드에서 권한은 세부적인 제어를 필요로 합니다. 예를 들어 운영팀은 시스템 로그를 보고 VM이나 인프라에 접근하지만 DB 데이터나 BQ 데이터에 접근을 하지 못하게 하거나 데이터 팀은 테이터에만 접근 가능하도록 구성하게 됩니다. 따라서 권한을 최소로 부여하여 보안성을 높일 수 있습.. 2023. 1. 19. [GCP] OS로그인을 사용한 VM 접속 시 MFA 설정 안녕하세요 MC에몽입니다. 이번주는 GCE 인스턴스에 접속 시 MFA를 적용하여 보안을 강화하는 방법에 대해 알아보겠습니다. GCP에서는 VM 인스턴스 접속 시 MFA 인증을 거치게 하는 방법으로 OS 로그인을 사용하도록 제공하고 있습니다. 1. OS 로그인 OS 로그인이란 개별 SSH 키를 생성하고 관리할 필요 없이 IAM으로 VM 인스턴스에 SSH 접속을 관리하는 방식으로 다음과 같은 장점이 있습니다. 1) Linux 계정 수명 주기 자동 관리 - Linux 사용자 계정을 사용자의 Google ID에 직접 연결할 수 있으므로 같은 프로젝트 또는 조직의 모든 인스턴스에서 동일한 Linux 계정 정보가 사용됩니다. 2) Google IAM을 사용한 세부 승인 - 프로젝트 및 인스턴스 수준의 관리자는 더 .. 2022. 12. 30. GCP 계층식 방화벽 정책 적용 방법 안녕하세요 MC에몽입니다. 오늘은 계층식 방화벽 정책을 사용하여 조직 혹은 폴더 전체에 일관된 방화벽 정책을 적용하는 방법을 알아보도록 하겠습니다. 계층식 방화벽 정책을 사용할 경우, 조직 전체 관리자가 중요한 방화벽 규칙을 한 곳에서 관리할 수 있습니다. 계층식 방화벽 정책의 특징은 다음과 같습니다.. - 규칙 평가는 리소스 계층 구조를 기반으로 합니다. > 조직 노드와 연결된 모든 규칙이 평가된 다음 첫 번째 수준의 폴더 규칙이 평가됩니다.(조직>폴더>프로젝트) - 계층식 방화벽 정책 규칙은 대상으로 VPC 네트워크 및 서비스 계정을 사용하며, 특정 VPC 네트워크 및 해당 SA를 사용하는 VM을 대상으로 지정할 수 있습니다. > 계층식 방화벽 정책 규칙은 인스턴스 태그별 타겟팅을 지원하지 않습니다... 2022. 12. 27. [Google Cloud Platform] GCP 자격증(Google Cloud Certified) 종류, 응시 방법 Google Cloud Certified - Foundational certification - Associate certification - Professional certification Google Cloud Certification 시험 응시 안녕하세요. BTC GCP팀 소속 손지수, 박은혜입니다. 이 글이 올해 마지막 포스팅이 될 것 같습니다. 정신없이 한 해가 지나가고 있네요. 얼마 남지 않은 시간이지만, 우리 모두 행복한 기억으로 남을 수 있는 하루하루가 되길 바랍니다. 지난 포스팅에서 Cloud Composer에 대해서 소개해드렸습니다. Composer는 관리형 Apache Airflow 서비스로 Composer의 자동화는 Airflow 환경을 신속하게 만들며 Airflow 전용 도구를 사.. 2022. 12. 22. [GKE 사용하기] 쿠버네티스 셀프힐링(Kubernetes Self-healing) 쿠버네티스에서는 서비스를 안정적으로 운영하기 위해 셀프힐링 기능을 지원합니다. 이 기능에는 Liveness Probe와 Readiness Probe가 있습니다. Liveness Probe를 통해서는 이름 그대로 컨테이너가 잘 살아있는지를 진단합니다. Readiness Probe를 통해서는 이름 그대로 서비스가 가능한 준비된 상태인지를 진단합니다. Probe 타입 컨테이너를 진단하과 확인하는 방법으로는 3가지가 있습니다. Http Get probe 가장 많이 사용하는 방식으로, 지정된 IP, port, path에 HTTP GET 요청을 보내 해당 컨테이너가 제대로 응답하는지를 확인합니다. HTTP 응답코드가 200이면 정상으로 판단하고, 그 이외의 값인 경우에는 비정상으로 판단하여 컨테이너를 다시 시작합니.. 2022. 12. 20. [GCP] Dataflow 안녕하세요~ BTC Hallo팀입니다. 이번시간에는 GCP의 특징적인 서비스 중에 하나인 Dataflow에 대해서 알아보겠습니다. Dataflow는 빠르고 경제적이며 서버리스 방식인 통합 스트리밍 및 일괄 데이터 처리를 제공합니다. 먼저 Dataflow를 사용하는 이점에 대해서 알아보겠습니다. 1. 완전 관리형 데이터 처리 서비스 2. 처리 리소스의 프로비저닝 및 관리 자동화 3. 작업자 리소스가 수평식으로 자동 확장되어 리소스 활용률 극대화 4. Apache Beam SDK를 통한 OSS 커뮤니티 기반의 혁신 5. 안정적이고 일관성 있는 단 한 번의 처리 신속한 스트리밍 데이터 분석 Dataflow를 사용하면 데이터 지연 시간을 줄이면서 스트리밍 데이터 파이프라인을 빠르고 간편하게 개발할 수 있습니다... 2022. 12. 16. [GCP] 사용 중인 GCE 인스턴스에 추가 Disk 적용하는 법 안녕하세요 MC에몽입니다. 이번주는 GCP에서 사용 중인 GCE 인스턴스에 추가 Disk 적용하는 방법을 알아보겠습니다. 추가 Disk를 부착 후 적용하기 위해서 인스턴스를 중단할 필요는 없습니다. Disk를 적용하는 방법은 아래와 같습니다. 1. 추가 Disk를 생성합니다. - Console > Compute Engine > Disks > Create Disk ※ Disk type 중 Local SSD는 Compute Engine 생성 시에만 추가 Disk로 사용할 수 있는 타입입니다. - Disk 이름과 위치(failover에 대비하기 위해 같은 리전의 다른 zone에 replica를 생성할 수 있음), source type, disk type, size 등을 설정합니다. - 사용할 수 있는 Disk.. 2022. 12. 9. 프로젝트 삭제 시 소속된 SA 권한 사용 가능 여부 확인 안녕하세요 MC에몽입니다. 프로젝트 정리할 경우 실수로 사용 중인 프로젝트를 날려버리는 실수를 범할 수 있습니다. 이번주는 프로젝트 A에서 생성한 Service Account를 프로젝트 B에 권한을 할당한 뒤, 프로젝트 A를 삭제하면 Service Account 권한을 사용할 수 있는지 알아보도록 하겠습니다. 먼저 아래와 같이 프로젝트 A(test-project)를 생성합니다. 프로젝트 생성이 완료되면 아래와 같이 Service Account(test-sa)를 만듭니다. 이후 프로젝트 B(test-project2)를 생성한 후 test-sa account에 Editor 권한을 부여합니다. Cloud Shell로 접속하여 아래 명령어를 통해 test-sa로 login합니다. [1] $ gcloud auth.. 2022. 12. 2. 이전 1 ··· 6 7 8 9 10 11 12 ··· 20 다음
