close
프로필 배경
프로필 로고

LUNEL.DEV

  • mode_edit_outline글작성
  • settings환경설정
    • ◆ PROGRAMING · 2025. 12. 1. fullscreen 넓게보기

    구글 클라우드의 리소스 및 액세스 개념 정리

    구글 클라우드 리소스 및 액세스 이해하기

    (Google Cloud 기초 핵심 인프라 과정 기반 정리)

    Google Cloud를 제대로 활용하려면 “리소스가 어떻게 구성되고, 누가 어떤 권한으로 접근하는가”를 이해하는 것이 중요하다. 이 두 개념은 클라우드에서 서비스 운영의 기본 뼈대이며, 과정에서도 핵심 주제로 다뤄진다. 아래는 학습 내용을 토대로 정리한 핵심 개념들이다.

    1. 구글 클라우드의 리소스(Resource) 구조

    Google Cloud의 모든 서비스는 계층적 구조로 관리된다. 이 구조를 이해하면 프로젝트를 어떻게 구성하고 관리해야 하는지 훨씬 명확해진다.

    1) 조직(Organization)

    기업, 학교 같은 최상위 관리 단위다.
    대부분 개인 개발자에게는 필요 없지만, 기업 환경에서는 모든 프로젝트를 하나의 조직 안에서 중앙 관리한다.

    2) 폴더(Folder)

    부서별·팀별 프로젝트를 묶어서 관리할 때 사용하는 계층이다.
    예: 개발팀 / 운영팀 / 테스트팀 등
    프로젝트가 많을 때 권한을 구조적으로 나누기 위해 사용한다.

    3) 프로젝트(Project)

    Google Cloud에서 모든 리소스가 실제로 생성되는 공간이다.
    VM, Storage, BigQuery, Cloud Run 등 모든 서비스는 반드시 특정 프로젝트 안에 속한다.
    너가 실습 중 만든 인스턴스나 버킷도 모두 “프로젝트” 단위로 관리되는 구조다.

    4) 리소스(Resource)

    프로젝트 내부에서 실제로 사용하는 서비스 단위.
    예:

    • Compute Engine VM
    • Cloud Storage Bucket
    • VPC 네트워크
    • BigQuery 데이터셋
    • Cloud Run 서비스
      리소스는 프로젝트라는 ‘상자’ 안에 놓이는 개념이라고 보면 이해가 쉽다.

    2. 구글 클라우드의 액세스(Access) 및 권한 관리

    Google Cloud는 Identity and Access Management(IAM)를 사용해
    “누가, 어떤 리소스에, 어느 정도 권한으로 접근할 수 있는지”를 관리한다.

    1) IAM의 핵심 개념

    IAM은 다음 세 가지 요소 조합으로 접근 권한을 정의한다.

    • 주체(Principal): 사람 혹은 서비스
      예: Gmail 계정, Google Workspace 사용자, 서비스 계정(Service Account)
    • 역할(Role): 허용되는 권한의 묶음
      예: Viewer, Editor, Owner, Storage Admin, BigQuery User 등
    • 정책(Policy): 어떤 주체에게 어떤 역할을 부여하는지 정의한 규칙

    IAM 정책 = 주체 + 역할

    이 구조로 어떤 리소스에 접근할 수 있는지를 매우 세밀하게 제어할 수 있다.

    3. IAM 역할(Role)의 종류

    역할은 크게 세 가지 범주로 나뉜다.

    1) 기본 역할(Primitive Role)

    프로젝트 전체에 광범위한 권한을 주는 역할

    • Owner
    • Editor
    • Viewer
      실습 초반에는 이 역할을 많이 사용하지만, 실제 서비스에서는 보안상 거의 사용하지 않는다.

    2) 사전 정의된 역할(Predefined Role)

    특정 서비스에 맞게 세분화된 역할
    예:

    • Storage Object Viewer
    • Compute Instance Admin
    • BigQuery Data Editor
      필요한 권한만 최소한으로 부여하는 데 유용하다.

    3) 커스텀 역할(Custom Role)

    조직이나 프로젝트 환경에 맞춰 직접 권한을 조합해 만드는 역할
    기업 환경에서 사용된다.

    4. 서비스 계정(Service Account)

    서비스 계정은 “사람이 아닌 애플리케이션을 위한 계정”이다.

    예:

    • VM 인스턴스가 Storage에 접근
    • Cloud Run이 BigQuery에 접근
    • 백엔드 서버가 Firestore에 읽기/쓰기

    실습 과정에서도 VM 만들 때 자동으로 서비스 계정이 부여되는 것을 볼 수 있는데,
    이는 해당 리소스가 다른 리소스에 접근할 수 있도록 하는 권한을 의미한다.

    서비스 계정에 IAM 역할을 부여해 “이 애플리케이션은 무엇을 할 수 있는가”를 제어한다.

    5. 리소스 정책 적용 범위

    IAM 정책은 구글 클라우드의 계층 구조에 따라 상속된다.

    조직 → 폴더 → 프로젝트 → 리소스

    상위 계층에서 권한을 부여하면 아래 계층에서도 자동으로 적용된다.
    예: 조직에 Storage Viewer 권한을 부여하면 해당 조직의 모든 프로젝트/버킷에 접근 가능.

    이런 상속 구조를 이해하면 보안 설정을 실수 없이 구성할 수 있다.

    6. 실습 과정과 연결해 보면

    현재 수강 중인 Google Cloud 인프라 과정에서는
    프로젝트 생성 → VM 구성 → 네트워크 설정 → Storage 버킷 생성 등
    모든 작업이 실제로 “리소스 단위로 생성되고 IAM으로 접근 제어하는 방식”을 기반으로 이루어진다.

    예를 들어,

    • VM 인스턴스에 기본 서비스 계정이 자동 배정되는 이유
    • Storage 버킷에 접근하려는데 Permission denied가 뜨는 이유
    • 프로젝트마다 다른 사람을 초대해 권한만 부여할 수 있는 이유

    이 모든 것이 리소스 분리와 IAM 구조로 설명된다.

    ◆ PROGRAMING 관련 글
    더 보기

    티스토리툴바