GCP - ID 및 조직

전제사항

- 도메인(gcpid.tk, gcpid.ga, gcpid.cf)

http://freenom.com 에서 임시 도메인 생성

- 가입 후 원하는 도메인 생성

 

GCP는 자원이 User 기반이 아니라 프로젝트 기반이며 조직(Organiztion) 이라는 구성을 가지고 있습니다.

리소스 계층 구조 정의

Google Cloud 리소스는 계층적으로 구성됩니다. 이러한 계층 구조를 통해 기업의 오퍼레이션 구조를 Google Cloud에 매핑하고 관련 리소스 그룹에 대한 액세스 제어 및 권한을 관리할 수 있습니다. 다음 다이어그램은 계층 구조의 예시를 보여줍니다.

조직은 계층 구조의 최상위 요소이며 상위 요소가 없습니다.

 

계층 구조의 최상위 노드는 조직(예: 회사)을 나타내는 조직 리소스입니다. 조직 리소스는 계층 구조 하위에 있는 모든 리소스를 중앙에서 제어할 수 있게 해줍니다.

다음 계층 구조에는 폴더가 있습니다. 폴더를 사용하면 상위 조직의 여러 부서 및 팀에 대한 요구사항을 격리할 수 있습니다. 마찬가지로 폴더를 사용하여 프로덕션 리소스를 개발 리소스로부터 분리할 수 있습니다.

계층 구조 맨 아래에는 프로젝트가 있습니다. 프로젝트에는 앱을 구성하는 컴퓨팅, 스토리지, 네트워킹 리소스가 포함됩니다. 

아래 다이어그램은 완벽한 형태의 Google Cloud 리소스 계층 구조의 대표적인 예시입니다.

조직 노드 만들기

Google Cloud에서 지원되는 기능의 상당수에는 조직 노드가 필요합니다. Cloud ID를 이용하면 example.com 같은 기업 인터넷 도메인에 매핑되는 조직 노드를 만들 수 있습니다. 기존 Google Cloud 프로젝트와 결제 계정을 조직 노드로 마이그레이션할 수 있습니다.

프로젝트 구조 지정

Google Cloud를 사용하려면 프로젝트가 필요합니다. Compute Engine 가상 머신 및 Cloud Storage 버킷과 같은 모든 Google Cloud 리소스는 단일 프로젝트에 속합니다. 

일반적으로 환경마다 애플리케이션당 하나의 프로젝트가 있는 것이 좋습니다. 

 

Google ID 관리

Google Cloud는 인증 및 액세스 관리에 Google 계정을 사용합니다. 개발자 및 기타 기술 담당자는 Google 계정이 있어야 Google Cloud에 액세스할 수 있습니다. Cloud ID를 통해 회사 도메인 이름에 연결된 완전 관리형 Google 계정을 사용하는 방법을 권장합니다. 이렇게 하면 개발자는 회사 이메일 ID를 사용하여 Google Cloud에 액세스할 수 있으며 관리자는 관리 콘솔을 통해 계정을 보고 제어할 수 있습니다. 이 문서의 이어지는 섹션에서는 기존 ID 플랫폼을 Cloud ID와 통합하는 방법을 설명합니다.

Cloud ID는 독립형 서비스로서의 ID(IDaaS) 솔루션입니다. 이 솔루션을 통해 Cloud Platform 고객은 Google Cloud의 다양한 직장 생산성 앱 모음인 Google Workspace가 제공하는 다양한 ID 관리 기능에 액세스할 수 있습니다 Cloud ID에는 Google Workspace 라이선스가 필요 없습니다. Cloud ID에 가입하면 회사 도메인 이름과 연결된 Google 계정을 통해 관리 계층이 제공됩니다. 이 관리 계층을 통해 Google Cloud를 포함한 Google 서비스에 대한 액세스를 사용 설정하거나 사용 중지할 수 있습니다. 또한 Cloud ID에 가입하면 도메인에 대한 조직 노드가 생성되며, 이는 회사 구조와 통제를 리소스 계층 구조를 통해 Google Cloud 리소스에 매핑하는 데 도움이 됩니다.

 

GCP 리소스는 단순하게 프로젝트 단독으로도 사용 가능하지만 기업환경에 적합하게 설계되어 필요한 경우 기업의 조직구조와 동일하게 계층적으로 구성하는 것이 가능합니다. 이러한 계층 구조를 통해 기업의 운영 구조를 GCP에 매핑 가능하며 관련 리소스 그룹에 대한 액세스 제어 및 권한을 체계적으로 관리할 수 있습니다. 필요한 경우 기업의 조직구조와 동일하게 계층적으로 구성하는 것이 가능합니다.

 

✔ Cloud Identity 를 활용해서 조직 구성

 

IAM 및 관리자 -> ID 및 조직을 클릭한 후 아래 화면이 나타나면 "체크리스트로 이동"을 클릭합니다.

[설정 시작하기] 버튼을 클릭합니다.

Google Cloud를 사용하려면 Google ID 서비스(Cloud ID 또는 Workspace )를 사용하여 Google Cloud 리소스의 사용자에 대한 사용자 인증 정보를 관리해야 합니다. Cloud ID 및 Workspace 모두 사용자 인증 정보를 제공하여 다른 사용자가 내 클라우드 리소스에 액세스할 수 있습니다. Workspace는 Gmail, Google Drive, 기타 서비스와 같은 추가 소비자 서비스를 제공합니다.

이미 Google 외의 ID 공급업체를 사용하고 있더라도 Cloud ID 또는 Workspace를 사용하는 Google ID 계정이 필요합니다. 현재 ID 공급업체를 Google ID 계정과 연계하면 직원들이 기존 사용자 인증 정보로 Google Cloud에 액세스할 수 있습니다.

Workspace는 Cloud ID보다 많은 기능을 제공하기 때문에 라이선스당 비용도 더 높습니다. 이러한 이유로 비용이 더 많이 드는 Workspace 기능에 액세스할 필요가 없는 사용자에 한해 Cloud ID를 선별적으로 사용할 수도 있습니다.

Google ID 서비스를 설정한 후 이를 사용해 도메인을 확인합니다. 도메인을 확인하면 Google Cloud 리소스 계층 구조의 루트 노드가 될 조직 리소스가 자동으로 생성됩니다.

이 태스크를 수행할 수 있는 사용자

1. ID 관리자는 조직 내 개인 또는 그룹에게 역할 기반 액세스를 할당합니다. 개인은 Cloud ID 또는 Workspace의 최고 관리자여야 합니다.
2. 도메인 관리자: DNS 구성과 같은 도메인 설정을 보고 수정할 수 있는 회사의 도메인 호스트에 대한 액세스 권한을 보유합니다.

이 태스크에서 수행하는 작업

• 도메인과 연결된 Google ID 서비스가 있어야 Google Cloud 조직의 인증을 관리할 수 있습니다.
• Google ID 서비스와 도메인을 연결합니다. 그러면 Google Cloud 리소스 계층 구조의 루트 노드가 될 조직 리소스가 생성됩니다.
• 조직 리소스가 정상적으로 생성되었는지 확인합니다.

이 태스크가 권장되는 이유

Google Cloud 설정 체크리스트를 사용하려면 도메인에 연결된 Google ID 서비스 및 프로젝트를 저장할 조직 리소스가 있어야 합니다. 리소스 계층 구조를 구성하고 팀의 계정 ID와 액세스 제어를 중앙에서 관리하려면 기본적으로 필요한 사항입니다.

[CLOUD ID 가입] 버튼을 클릭합니다.

 

Google ID 관리

Google Cloud는 인증 및 액세스 관리에 Google 계정을 사용합니다. 개발자 및 기타 기술 담당자는 Google 계정이 있어야 Google Cloud에 액세스할 수 있습니다.

Google ID는 사용자 라이프사이클 관리, 디렉터리 서비스, 계정 보안, 싱글 사인온(SSO), 기기 관리 등을 하나의 간편한 통합 솔루션으로 제공합니다

Gloud ID에 가입하려면 비즈니스의 도메인이 있어야 합니다.

본 문서에서는 https://내도메인.한국/ 에서 도메인을 발급받아서 진행했습니다.

 

 

 

 

 

GCP 콘솔에 로그인합니다.

 

도메인 소유자에 대한 확인을 합니다. [계속] 버튼을 클릭합니다.

본인의 도메인 설정에서  TXT(SPF) 레코드에 위의 코드를 입력합니다. 

아래 내용은 도메인을 발급한 사이트에서 수행해야 합니다. 본 문서에서는 https://내도메인.한국/ 사이트에서 정보를 수정했습니다.

도메인이 정상적으로 확인되면 아래와 같은 화면이 출력됩니다.

 

GCP 콘솔에서 "리소스 관리" 메뉴를 클릭하면 아래와 같이 최상위 조직이 생성된 것을 확인할 수 있습니다.

 

 

#4) 폴더 구조 추가하기

좀 더 효율적인 조직 관리를 위해서는 폴더를 만들어서 관리할 수 있으며 보다 다양하고 유연한 접근 제어 기능을 활용할 수 있습니다. 폴더 자원은 프로젝트 간의 추가 그룹화 메커니즘 및 격리 경계를 제공하며 조직 내 하위 조직으로 볼 수 있습니다. 폴더를 사용하여 회사 내의 여러 법인, 부서 및 팀을 모델링 할 수 있습니다.

 

“폴더 만들기” 를 클릭하면 하단과 같이 조직 밑으로 폴더를 만들 수 있습니다. 내역을 입력 또는 선택한 후 [만들기] 버튼을 클릭합니다.

• 폴더이름 : 폴더 이름 입력
• 조직 : 폴더에 연결할 조직 선택
• 위치 : 상위 조직 또는 폴더 선택

아래 화면처럼 폴더가 생성된 것을 확인할 수 있습니다.

프로젝트를 생성해 봅니다.

"IAM 및 리소스" - "리소스 관리"를 클릭한 후 [프로젝트 만들기]를 클릭합니다.

• 프로젝트 이름 : 프로젝트 이름 입력
• 조직 : 프로젝트의 조직 선택
• 위치 : 프로젝트를 생성할 조직이나 폴더 선택

 

아래와 같이 folder-a 하위에 프로젝트가 생성된 것을 확인할 수 있습니다.