Google Cloud 워크로드 ID 연동 및 IAM 정책

Tier: Free, Premium, Ultimate Offering: GitLab.com Status: Beta
  • GitLab 16.10에 도입되었으며 google_cloud_support_feature_flag라는 플래그로 제공됩니다. 이 기능은 베타 상태입니다.

GitLab.com에서 이 기능은 일부 사용자를 대상으로 사용할 수 있습니다. 그러나 GitLab Dedicated에서는 이 기능을 사용할 수 없습니다.

이 기능은 베타 상태입니다. 이 기능의 테스트 사용자 디렉터리에 참여하려면 대기 디렉터리에 가입하십시오.

Google Artifact Registry와 같은 Google Cloud 통합을 사용하려면 워크로드 ID 풀 및 제공자를 생성하고 구성해야 합니다. Google Cloud 통합은 워크로드 ID 연동을 사용하여 JSON Web Token (JWT) 토큰을 통해 GitLab 작업 부하가 Google Cloud 자원에 액세스할 수 있도록 합니다.

워크로드 ID 연동 생성 및 구성

워크로드 ID 연동을 설정하려면 다음 중 하나를 선택할 수 있습니다:

  • GitLab UI를 사용하여 안내 받기.
  • Google Cloud CLI를 사용하여 워크로드 ID 연동을 매뉴얼으로 설정하기.

GitLab UI 사용

GitLab UI를 사용하여 워크로드 ID 연동을 설정하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 설정 > 통합을 선택합니다.
  3. Google Cloud IAM 통합을 찾고 구성을 선택합니다.
  4. 안내 설정을 선택하고 지침에 따릅니다.
note
알려진 문제로 인해, Google Cloud IAM 통합 페이지의 필드가 안내 설정 스크립트를 실행한 후에도 채워지지 않을 수 있습니다. 필드가 비어 있는 경우 페이지를 새로 고침하십시오. 자세한 정보는 이슈 448831을 참조하십시오.

Google Cloud CLI 사용

사전 요구 사항:

  • Google Cloud CLI가 설치되고 인증되어 있어야 합니다. Google Cloud에서 권한을 가지고 있어야 합니다. Google Cloud 워크로드 ID 연동을 관리하는 데 필요한 권한이 있어야 합니다.
  1. 다음 명령을 사용하여 워크로드 ID 풀을 생성합니다. 다음 값을 바꿉니다:
    • <your_google_cloud_project_id>: Google Cloud 프로젝트 ID로 대체합니다. 보안을 강화하기 위해 별도의 프로젝트를 사용하여 ID 관리를 하고, 리소스와 CI/CD 프로젝트와는 별도로 유지하십시오.
    • <your_identity_pool_id>: 풀에서 사용할 ID로, 4자에서 32자의 소문자, 숫자 또는 하이픈이어야 합니다. 충돌을 피하려면 고유한 ID를 사용하십니다. IAM 정책 관리에 도움이 되도록 GitLab 프로젝트 ID 또는 프로젝트 경로를 포함하는 것이 좋습니다. 예를 들어 gitlab-my-project-name입니다. 
    gcloud iam workload-identity-pools create <your_identity_pool_id> \
         --project="<your_google_cloud_project_id>" \
         --location="global" \
         --display-name="GitLab 프로젝트 ID용 워크로드 ID 풀"
  2. 다음 명령을 사용하여 워크로드 ID 풀에 OIDC 제공자를 추가합니다. 다음 값을 바꿉니다:
    • <your_identity_provider_id>: 제공자에서 사용할 ID로, 4에서 32자의 소문자, 숫자 또는 하이픈이어야 합니다. 풀 내에서 고유한 ID를 사용하십시오. 예를 들어 gitlab입니다.
    • <your_google_cloud_project_id>: Google Cloud 프로젝트 ID로 대체합니다.
    • <your_identity_pool_id>: 이전 단계에서 만든 워크로드 ID 풀의 ID입니다.
    • <your_issuer_uri>: ID 공급자 발행자 URI로, IAM 연동 페이지에서 매뉴얼 설정을 선택할 때 복사하여 자세히 일치해야 합니다. 매개변수는 루트 그룹의 경로를 포함해야 합니다. 예를 들어 프로젝트가 my-root-group/my-sub-group/project-a에 속해 있다면, issuer-urihttps://auth.gcp.gitlab.com/oidc/my-root-group로 설정해야 합니다. 
    gcloud iam workload-identity-pools providers create-oidc "<your_identity_provider_id>" \
      --location="global" \
      --project="<your_google_cloud_project_id>" \
      --workload-identity-pool="<your_identity_pool_id>" \
      --issuer-uri="<your_issuer_uri>" \
      --display-name="GitLab OIDC 제공자" \
      --attribute-mapping="attribute.guest_access=assertion.guest_access,\
attribute.reporter_access=assertion.reporter_access,\
attribute.developer_access=assertion.developer_access,\
attribute.maintainer_access=assertion.maintainer_access,\
attribute.owner_access=assertion.owner_access,\
attribute.namespace_id=assertion.namespace_id,\
attribute.namespace_path=assertion.namespace_path,\
attribute.project_id=assertion.project_id,\
attribute.project_path=assertion.project_path,\
attribute.user_id=assertion.user_id,\
attribute.user_login=assertion.user_login,\
attribute.user_email=assertion.user_email,\
attribute.user_access_level=assertion.user_access_level,\
google.subject=assertion.sub"
  • attribute-mapping 매개변수에는 JWT ID 토큰에 포함된 OIDC 사용자 지정 클레임과 해당 Identity and Access Management (IAM) 정책에서 액세스를 부여하는 데 사용되는 동일한 ID 속성 사이의 매핑이 포함되어야 합니다.
  • IAM 정책에 클레임을 매핑하는 자세한 내용은 Google Cloud의 액세스 제어을 참조하십시오.

워크로드 ID 풀과 제공자를 생성한 후에 GitLab에서 설정을 완료하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 설정 > 통합을 선택합니다.
  3. Google Cloud IAM 통합을 찾고 구성을 선택합니다.
  4. 매뉴얼 설정을 선택합니다.
  5. 필드를 완성하십시오.
    • 이 통합에 대해 워크로드 ID 풀과 제공자를 생성한 Google Cloud 프로젝트의 프로젝트 ID (예: my-sample-project-191923)를 입력하십시오.
    • 동일한 Google Cloud 프로젝트에 대한 프로젝트 번호를 입력하십시오 (예: 314053285323).
    • 이 통합을 위해 생성한 워크로드 ID 풀의 풀 ID을 입력하십시오.
    • 이 통합을 위해 생성한 워크로드 ID 제공자의 제공자 ID를 입력하십시오.

OIDC 사용자 정의 클레임

ID 토큰에는 다음 사용자 정의 클레임이 포함됩니다:

클레임 이름 발생 조건 설명
namespace_id 프로젝트 이벤트 그룹 또는 사용자 레벨 네임스페이스의 ID.
namespace_path 프로젝트 이벤트 그룹 또는 사용자 레벨 네임스페이스의 경로.
project_id 프로젝트 이벤트 프로젝트의 ID.
project_path 프로젝트 이벤트 프로젝트의 경로.
root_namespace_id 그룹 이벤트 루트 그룹 또는 사용자 레벨 네임스페이스의 ID.
root_namespace_path 그룹 이벤트 루트 그룹 또는 사용자 레벨 네임스페이스의 경로.
user_id 사용자 이벤트 사용자의 ID.
user_login 사용자 이벤트 사용자의 사용자명.
user_email 사용자 이벤트 사용자의 이메일.
ci_config_ref_uri CI/CD 파이프라인 실행 중 최상위 CI 파이프라인 정의의 ref 경로.
ci_config_sha CI/CD 파이프라인 실행 중 ci_config_ref_uri의 Git 커밋 SHA.
job_id CI/CD 파이프라인 실행 중 CI 작업의 ID.
pipeline_id CI/CD 파이프라인 실행 중 CI 파이프라인의 ID.
pipeline_source CI/CD 파이프라인 실행 중 CI 파이프라인 소스.
project_visibility CI/CD 파이프라인 실행 중 파이프라인이 실행되는 프로젝트의 가시성.
ref CI/CD 파이프라인 실행 중 CI 작업의 Git ref.
ref_path CI/CD 파이프라인 실행 중 CI 작업의 완전히 정규화된 ref.
ref_protected CI/CD 파이프라인 실행 중 Git ref가 보호되었는지 여부.
ref_type CI/CD 파이프라인 실행 중 Git ref 유형.
runner_environment CI/CD 파이프라인 실행 중 CI 작업에 의해 사용된 러너의 유형.
runner_id CI/CD 파이프라인 실행 중 CI 작업을 실행하는 러너의 ID.
sha CI/CD 파이프라인 실행 중 CI 작업의 커밋 SHA.
environment CI/CD 파이프라인 실행 중 CI 작업이 배포된 환경.
environment_protected CI/CD 파이프라인 실행 중 배포된 환경이 보호되었는지 여부.
environment_action CI/CD 파이프라인 실행 중 CI 작업에서 지정된 환경 액션.
deployment_tier CI/CD 파이프라인 실행 중 CI 작업이 지정하는 환경의 배포 티어.
user_access_level 사용자 이벤트 사용자의 역할. guest, reporter, developer, maintainer, owner값을 가짐.
guest_access 사용자 이벤트 사용자가 최소한 guest 역할을 가지고 있는지 여부를 나타냄. “true” 또는 “false”로 표시됨.
reporter_access 사용자 이벤트 사용자가 최소한 reporter 역할을 가지고 있는지 여부를 나타냄. “true” 또는 “false”로 표시됨.
developer_access 사용자 이벤트 사용자가 최소한 developer 역할을 가지고 있는지 여부를 나타냄. “true” 또는 “false”로 표시됨.
maintainer_access 사용자 이벤트 사용자가 최소한 maintainer 역할을 가지고 있는지 여부를 나타냄. “true” 또는 “false”로 표시됨.
owner_access 사용자 이벤트 사용자가 최소한 owner 역할을 가지고 있는지 여부를 나타냄. “true” 또는 “false”로 표시됨.

이러한 클레임들은 ID 토큰 클레임의 슈퍼셋입니다. 모든 값은 문자열 유형입니다. 자세한 내용 및 예제 값은 ID 토큰 클레임 문서를 참조하세요.