이 체크리스트는 확장 가능하며 프로덕션에 바로 사용 가능한 기업 워크로드를 위한 Google Cloud의 설정을 도와줍니다. 회사의 Google Cloud 리소스를 완전히 제어하는 업무를 맡은 관리자를 대상으로 작성된 체크리스트입니다.
이 체크리스트는 단계별 절차가 담긴 10개의 태스크로 구성됩니다. 다양한 방식으로 수행할 수 있는 태스크도 일부 있으나 일반적으로 대다수 사용자에게 유용한 방식을 설명하였습니다. 체크리스트를 진행하면서 자체 비즈니스 요구를 고려하세요. 권장사항과 다른 방식을 선택하는 경우 체크리스트의 이후 태스크에 이러한 차이를 반영하세요.
항목의 세부 단계를 보려면 체크리스트에서 해당 항목을 클릭합니다.
체크리스트
ID 계정 설정 또는 확인
Cloud ID 또는 Google Workspace를 사용하여 Google Cloud를 중앙에서 관리하고 체크리스트의 많은 작업을 수행하는 데 필요한 조직 리소스를 만들어야 합니다. 직원이 Google Cloud에서 기존 ID를 사용할 수 있으려면 Cloud ID 또는 Google Workspace를 외부 ID 공급업체와 페더레이션해야 합니다.
이 태스크에서는 Google Workspace나 Cloud ID 또는 이 둘의 조합을 사용하여 Google Cloud에서 작업할 수 있는 ID를 만듭니다.
- Google Workspace 고객이라면(즉, 회사에서 기업 Gmail 및 기타 Google 서비스를 이용하는 경우) Google Workspace 사용자 라이선스를 통해 Google Cloud 리소스를 관리할 수 있습니다.
- Google Workspace 고객이 아닌 경우 Cloud ID를 사용할 수 있습니다. Cloud ID는 클라우드 리소스에 액세스할 수 있는 사용자 및 그룹을 중앙에서 생성하고 관리할 수 있는 Identity as a Service(IDaaS) 솔루션입니다. (이후 태스크에서 이러한 사용자 및 그룹이 액세스할 수 있는 리소스를 구성합니다.)
- Cloud ID를 Google Workspace와 함께 사용하면 보다 강력하고 비용이 많이 드는 Google Workspace 기능이 필요하지 않은 사용자에게 라이선스를 제공할 수 있습니다.
또한 Cloud ID 또는 Google Workspace 계정을 외부 ID 공급업체(IdP)와 페더레이션하면 직원이 기존 ID와 사용자 인증 정보를 사용하여 Google 서비스에 로그인할 수 있습니다.
Google Workspace 및 Cloud ID에 대해 알아볼 수 있습니다.
각 Google Workplace 또는 Cloud ID 계정은 조직 하나에만 연결됩니다. 조직은 조직 리소스 생성 시 설정되는 도메인 하나에만 연결됩니다. 이 체크리스트의 후반부에 있는 태스크를 수행하려면 Cloud Console에서 조직 리소스를 사용해야 합니다.
다음 섹션에서는 두 ID 서비스를 설정하는 방법을 설명합니다.
이 태스크를 수행할 수 있는 사용자
이 태스크를 수행하려면 여러 사람이 필요합니다.
- 회사에서 Google Cloud의 ID 관리자 역할을 담당할 사람입니다. 나중에 이 액세스 권한을 사용자 그룹에 부여할 수 있습니다. 회사에서 이미 유료 Google Workspace 서비스를 사용하고 있다면 Google Workspace 최고 관리자 액세스 권한이 있는 사람이 이 단계를 수행해야 합니다.
- DNS 구성과 같은 도메인 설정을 보고 수정할 수 있는 회사의 도메인 호스트에 대한 액세스 권한이 있는 사람입니다.
수행할 작업
- 신규 고객이라면 Cloud ID 계정에 가입하고 회사 도메인을 확인합니다.
- Google Workspace 고객은 원하는 경우 Cloud ID를 사용 설정하고 자동 Google Workspace 라이선스 기능을 사용 중지할 수 있습니다.
이 태스크가 권장되는 이유
다음을 수행하려면 Cloud ID 또는 Google Workspace 계정이 필요합니다.
- 사용자 및 그룹을 관리하여 클라우드 리소스에 대한 액세스를 제어합니다.
- Google Cloud 조직을 설정합니다.
- 조직 제어 및 구조를 만듭니다.
Google Workspace를 사용하지만 Google Workspace의 강력한 기능이 필요 없는 사용자가 있는 경우 Cloud ID를 통해 이러한 사용자에게 라이선스를 제공하여 비용을 절약할 수 있습니다.
ID 계정 설정 또는 확인
신규 고객
Cloud ID는 유료 Premium 버전뿐만 아니라 일부 Premium 기능이 포함된 무료 등급을 제공합니다. 버전을 비교하려면 Cloud ID 기능 및 버전 비교를 참조하세요. 이 체크리스트에는 무료 버전 설치 단계가 나와 있지만 언제든지 원하면 Premium 버전으로 업그레이드할 수 있습니다.
이 프로세스를 완료하려면 사용할 도메인을 등록해야 하며 도메인 호스트를 통해 도메인 설정에 액세스할 수 있어야 합니다.
-
이렇게 하면 사용자 및 회사 정보를 지정하는 멀티 페이지 프로세스가 시작됩니다. 마지막 단계에서 사용자 이름을 입력합니다. Cloud ID는 Cloud ID의 최고 관리자로
<username>@<your-domain>.com
을 추가합니다. 최고 관리자 계정은 조직 계정의 모든 측면을 관리할 수 있습니다.로그인 방법을 묻는 메시지가 표시되면
admin
이라는 사용자 이름을 사용하는 것이 좋습니다. 도메인을 확인합니다. 문제가 발생하면 문제해결 섹션을 참조하세요.
사용자는 나중에 추가할 것이므로 계정에 사용자를 추가하라는 메시지가 표시되면 해당 프로세스를 건너뜁니다. 이 단계를 건너뛰려면 다음 안내를 따르세요.
사용자 만들기 버튼을 클릭합니다.
사용자 추가를 완료하였습니다 체크박스를 선택한 후 다음 버튼을 클릭합니다.
Cloud Console로 이동 버튼을 클릭합니다.
Cloud ID 무료 버전은 기본적으로 50개의 사용자 라이선스를 제공합니다. 이 체크리스트에서는 사용자 4명을 설정해야 합니다. Google 관리 콘솔의 결제 페이지에서 기존 라이선스를 볼 수 있습니다. 추가 무료 라이선스가 필요하다면 다음 단계를 통해 요청할 수 있습니다.
이전 절차에서 만든 최고 관리자 계정으로 Google 관리 콘솔에 로그인합니다.
Cloud ID Free Edition 사용자 권한 페이지로 이동하여 안내에 따라 사용 가능한 라이선스 수를 늘리세요.
Google Workspace 고객
기존 Google Workspace 계정의 Cloud ID를 설정하려면 다음 안내를 따르세요.
자동 Google Workspace 라이선스 기능을 사용 중지합니다. Cloud ID를 사용 설정하면 기본적으로 조직에 새로 추가한 모든 사용자가 자동으로 Cloud ID 무료 버전의 사용자가 됩니다. 자동 Google Workspace 라이선스 기능을 사용 중지하지 않으면 신규 사용자에게도 유료 Google Workspace 라이선스가 부여됩니다. 유료 Google Workspace 사용자 계정은 이 단계를 완료한 후에도 추가할 수 있습니다.
기본적으로 Cloud ID 무료 버전의 라이선스 50개가 제공됩니다. 이 체크리스트에서는 사용자 4명을 설정해야 합니다. Google 관리 콘솔의 결제 페이지에서 기존 라이선스를 볼 수 있습니다. 추가 무료 라이선스가 필요하다면 다음 단계를 통해 요청할 수 있습니다.
이전 절차에서 만든 관리자 이메일 주소로 Google 관리 콘솔에 로그인합니다.
Cloud ID Free Edition 사용자 권한 페이지로 이동하여 안내에 따라 사용 가능한 라이선스 수를 늘리세요.
문제해결
내 도메인으로 Google 서비스에 가입할 수 없음
일반적인 문제 및 해결 방법에 대한 자세한 내용은 Google 서비스에 도메인을 등록할 수 없음을 참조하세요.
Google 계정이 이미 존재함
해결 방법은 'Google 계정이 이미 존재합니다' 오류를 참조하세요.
Cloud ID 계정에 사용자 및 그룹 추가
이 태스크를 위해 관리자 사용자를 위한 관리 Google 계정을 만듭니다.
이 태스크를 수행할 수 있는 사용자
회사에서 Google Cloud의 ID 관리자 역할을 담당할 사람입니다.
수행할 작업
- 체크리스트 태스크에 참여할 사용자를 Cloud ID 계정에 추가합니다.
- Google 그룹스 집합을 만듭니다.
- 체크리스트 태스크에 참여할 사용자를 Google 그룹스에 추가합니다.
이 태스크가 권장되는 이유
ID 및 액세스 관리(IAM) 역할을 할당하려면 나중에 액세스를 제어할 수 있도록 사용자 계정 및 Google 그룹스를 만들어야 합니다.
초기 사용자 추가
이 온보딩 체크리스트를 용도에 맞게 활용하려면 클라우드 설정 업무에 관여하는 관리자 및 의사 결정권자 등 체크리스트 태스크에 참여할 사용자를 먼저 추가하는 것이 좋습니다. 사용자를 모두 추가하지 않은 상태로 체크리스트의 나머지 작업을 진행할 수 있습니다. 이 태스크의 후반부에서는 사용자 그룹을 만듭니다. 이 체크리스트를 완료한 후에는 후반부에 설명할 도구 중 하나를 사용하여 더 많은 수의 사용자로 확장할 수 있습니다.
태스크 1에서 Cloud ID 계정을 설정할 때 만든 최고 관리자 계정을 사용하여 Google 관리 콘솔에 로그인합니다.
다음 옵션 중 하나를 사용해 사용자를 추가합니다.
Google 그룹스 만들기
다음으로 Google 그룹스 집합을 만듭니다. Google 그룹스를 사용하면 Cloud ID 또는 Google Workspace 사용자 그룹에 권한을 빠르게 할당할 수 있습니다. 그룹의 권한은 이 체크리스트 후반에 설정합니다.
처음에는 다음 Google 그룹스를 만드는 것이 좋습니다.
gcp-organization-admins
gcp-network-admins
gcp-security-admins
gcp-billing-admins
gcp-devops
gcp-developers
이 그룹은 나중에 Google Cloud 액세스 권한을 추가할 때 설정 과정에서 필수적입니다. 이러한 그룹을 권장하는 이유에 대한 자세한 내용은 기업 조직을 위한 권장 사항 가이드를 참조하세요.
그룹 생성 방법 주제를 열고 관리 콘솔을 선택하고 안내에 따라 각 권장 Google 그룹스를 만듭니다.
각 Google 그룹에 사용자를 추가합니다. 이 체크리스트를 완료하려면 다음 각 그룹에 사용자를 1명 이상 추가해야 합니다.
gcp-organization-admins
gcp-network-admins
gcp-billing-admins
gcp-devops
기존 일반 계정 평가
조직의 일부 직원이 현재 일반 계정을 사용하여 Google 서비스에 액세스하고 있는지 평가하고 이러한 직원을 Cloud ID 또는 Google Workspace로 마이그레이션할지 결정합니다.
사용자 프로비저닝 자동화 및 싱글 사인온(SSO) 사용 설정
조직에서 이미 Active Directory, Azure AD, Okta 또는 Ping Identity 등의 ID 공급업체를 사용하고 있는 경우 페더레이션을 사용하여 Google Cloud와 이 외부 IdP를 통합할 수 있습니다.
- Cloud ID를 Active Directory와 페더레이션하여 자동으로 사용자를 프로비저닝하고 싱글 사인온(SSO)을 사용 설정합니다.
- Azure Active Directory와 통합
- Google Workspace Admin SDK를 사용하여 커스텀 솔루션을 만듭니다.
조직의 관리자 액세스 권한 설정
이 태스크로 조직에 속한 모든 클라우드 리소스를 중앙에서 파악하고 제어할 수 있는 능력을 관리자에게 제공하는 조직 관리자 액세스 권한을 설정합니다.
이 태스크를 수행할 수 있는 사용자
회사에서 이미 유료 Google Workspace 서비스를 사용하고 있다면 Google Workspace 최고 관리자 액세스 권한이 있는 사람이 이 단계를 수행해야 합니다. 그렇지 않은 경우 태스크 2에서 만든 Cloud ID 계정을 사용합니다.
수행할 작업
- 조직 생성 여부를 확인합니다.
- 태스크 2에서 만든
gcp-organization-admins@<your-domain>.com
그룹에 관리 역할을 할당합니다. - 체크리스트 뒷부분의 태스크를 수행할 수 있도록 본인과 조직의 다른 관리자에게 관리자 권한을 추가합니다.
이 태스크가 권장되는 이유
보안상의 이유로 조직의 모든 관리자 역할을 명시적으로 정의해야 합니다.
조직 생성 여부 확인
태스크 1에서 설정하는 Cloud ID 최고 관리자 계정 또는 Google Workspace 최고 관리자 계정을 사용하여 Cloud Console에 로그인합니다.
ID 및 조직 페이지로 이동하여 조직 만들기를 완료합니다. 링크로 이동한 후 프로세스가 완료될 때까지 몇 분 정도 기다려야 할 수 있습니다.
조직 이름이 조직 선택 목록에 표시되어야 합니다. 태스크 1의 단계에서 조직을 만드는 데 몇 분 정도 걸릴 수 있습니다. 조직 이름이 표시되지 않는다면 잠시 기다렸다가 페이지를 새로고침해 보세요.
관리자 액세스 권한 설정
다음으로 태스크 2에서 만든 gcp-organization-admins@<your-domain>.com
그룹에 관리자 역할을 할당합니다.
다음과 같이 변경하여 액세스 권한 부여 단계를 완료합니다.
Cloud Console에서 IAM 페이지를 연 후 페이지 상단의 조직 목록에서 조직 이름이 선택되어 있는지 확인하세요.
이메일 주소를 입력하라는 메시지가 나타나면
gcp-organization-admins@<your-domain>.com
을 사용합니다.역할을 선택하라는 메시지가 나타나면 Resource Manager > 조직 관리자를 선택합니다.
첫 번째 역할을 추가한 후 다른 역할 추가를 클릭하고
gcp-organization-admins@<your-domain>.com
구성원에 다음 역할을 추가합니다.- Resource Manager > 폴더 관리자
- 리소스 관리자 > 프로젝트 생성자
- 결제 > 결제 계정 사용자
- 역할 > 조직 역할 관리자
- 조직 정책 > 조직 정책 관리자
- 보안 센터 > 보안 센터 관리자
- 지원 > 지원 계정 관리자
역할을 모두 추가한 후 저장을 클릭합니다.
결제 설정
이 태스크에서는 Google Cloud 리소스 요금을 지불할 결제 계정과 결제 계정의 관리자 액세스 권한을 설정합니다.
이 태스크를 수행할 수 있는 사용자
이 태스크를 수행하려면 여러 사람이 필요합니다.
태스크 2에서 만든
gcp-organization-admins@<your-domain>.com
그룹에 속한 사용자입니다.태스크 2에서 만든
gcp-billing-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
- 태스크 2에서 만든
gcp-billing-admins@<your-domain>.com
그룹에 관리 액세스 권한을 할당합니다. - 결제 계정 유형과 결제 수단을 선택하고 설정합니다.
이 태스크가 권장되는 이유
Cloud Billing 계정은 하나 이상의 Google Cloud 프로젝트와 연결되며 가상 머신, 네트워킹, 스토리지 등 사용한 리소스의 요금을 지불하는 데 사용됩니다. IAM 역할은 Cloud Billing 계정에 대한 액세스를 제어합니다.
관리자 액세스 권한 설정
결제 계정 관리자 IAM 역할이 할당된 팀 구성원은 결제 및 인보이스 관리, 예산 설정, 프로젝트와 결제 계정의 연결과 같은 태스크를 수행할 수 있습니다. 이 역할은 팀 구성원에게 프로젝트 콘텐츠를 볼 수 있는 권한을 부여하지 않습니다.
태스크 2에서 만든
gcp-organization-admins
Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.다음과 같이 변경하여 액세스 권한 부여 단계를 완료합니다.
이메일 주소를 입력하라는 메시지가 나타나면
gcp-billing-admins@<your-domain>.com
을 사용합니다.역할을 선택하라는 메시지가 나타나면 결제 > 결제 계정 관리자를 선택합니다.
첫 번째 역할을 추가한 후 다른 역할 추가를 클릭하고
gcp-billing-admins@<your-domain>.com
구성원에 다음 역할을 추가합니다.- 결제 > 결제 계정 생성자
- Resource Manager > 조직 뷰어
결제 계정 설정
다음으로 결제 계정 유형을 선택하고 설정합니다. 결제 계정에는 2가지 유형이 있습니다.
셀프 서비스. 신용카드, 체크카드 또는 ACH 자동이체를 사용해 온라인에서 가입합니다. 비용이 자동으로 청구됩니다.
인보이스 결제. 수표 또는 은행 송금을 통해 대금을 결제합니다. 우편이나 전자 방식으로 인보이스가 발송됩니다.
인보이스 결제 계정의 자격요건을 포함한 자세한 내용은 결제 계정 유형을 참조하세요.
셀프 서비스 계정
태스크 2에서 만든
gcp-billing-admins
Google 그룹의 사용자로 Cloud Console에 로그인합니다.결제 계정이 생성되었는지 확인하려면 결제 페이지로 이동한 후 조직 선택 목록에서 조직을 선택합니다. 결제 계정이 성공적으로 생성되면 목록에 표시됩니다.
인보이스 계정
인보이스 계정을 요청하려면 Google 영업 담당자에게 문의하세요. 영업 담당자가 대신 요청을 제출해 드립니다.
확인 이메일이 수신될 때까지 기다리세요. 이 절차는 영업일 기준 최대 5일이 걸릴 수 있습니다.
리소스 계층 구조 설정
이 태스크에서는 리소스 계층 구조의 기본 폴더 및 프로젝트 구조를 만듭니다.
폴더는 프로젝트 간의 그룹화 메커니즘과 격리 경계를 제공합니다. 예를 들어 폴더는 재무 또는 소매와 같은 조직의 주요 부서 또는 프로덕션 및 비프로덕션과 같은 환경을 나타낼 수 있습니다.
프로젝트에는 가상 머신, 데이터베이스, 스토리지 버킷 같은 클라우드 리소스가 포함되어 있습니다. 프로젝트 관련 권장사항은 프로젝트 구조 지정을 참조하세요.
IAM 정책을 설정하여 리소스 계층 구조의 여러 수준에서 액세스를 제어할 수 있습니다. 이러한 정책은 이 체크리스트에서 후반 태스크로 설정합니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-organization-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
폴더와 프로젝트로 초기 계층 구조를 만듭니다.
이 태스크가 권장되는 이유
리소스 계층 구조의 여러 수준에서 액세스를 제어하기 위해서는 IAM 정책을 설정하는 후반 태스크에서 구조를 만들어야 합니다.
리소스 계층 구조 다이어그램
리소스 계층 구조를 만드는 방법에는 여러 가지가 있습니다. 다음 다이어그램에서는 일반적인 예시를 보여줍니다.
이 예시에서는 조직 리소스 계층 구조에 3개 수준의 폴더가 포함되어 있습니다.
환경(비프로덕션 및 프로덕션) 환경을 서로 격리하면 프로덕션 환경에 대한 액세스를 보다 효과적으로 제어하고 비프로덕션 변경사항이 의도치 않게 프로덕션에 영향을 미치는 것을 방지할 수 있습니다.
사업부: 다이어그램에서 사업부는 엔지니어링 및 마케팅 등의 사업부일 수 있는
Dept X
및Dept Y
, 그리고 네트워킹, 로깅, 모니터링 등 계층 구조 전체에 공유되는 리소스를 포함하는 프로젝트가 있는Shared
폴더로 표시됩니다.팀: 다이어그램에
Team A
,Team B
,Team C
로 표시되며 개발, 데이터 과학, QA 등의 팀일 수 있습니다.
초기 리소스 계층 구조 만들기
이 체크리스트 단계에서는 다음 다이어그램과 같이 초기 설정에 해당하는 기본 폴더 및 프로젝트를 만듭니다. 이 폴더 및 프로젝트는 체크리스트의 나머지 태스크에서 사용됩니다. 나중에 이 계층 구조에 내 조직을 반영할 수 있으며 Google Cloud에서 워크로드가 늘어나면 회사의 니즈에 맞게 맞춤설정할 수 있습니다.
- 태스크 2에서 만든
gcp-organization-admins
Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다. - 폴더를 만듭니다.
절차를 4회 수행하여 다음 폴더를 만듭니다.
Production
Non-Production
Shared
(Production
을 상위 폴더로 사용)Shared
(Non-Production
을 상위 폴더로 사용)
다음으로 프로젝트를 만듭니다. 프로덕션 환경과 비프로덕션 환경을 구분하는 원칙에 따라 다음 프로젝트를 만들어야 합니다.
example-vpc-host-nonprod
. 이 프로젝트를 사용하면 여러 프로젝트의 비프로덕션 리소스를 공통 VPC 네트워크에 연결하는 데 도움이 됩니다.example-vpc-host-prod
. 이 프로젝트를 사용하면 여러 프로젝트의 프로덕션 리소스를 공통 VPC 네트워크에 연결하는 데 도움이 됩니다.example-monitoring-nonprod
. 이 프로젝트는 비프로덕션 모니터링 리소스를 호스팅하는 데 사용됩니다.example-monitoring-prod
. 이 프로젝트는 프로덕션 모니터링 리소스를 호스팅하는 데 사용됩니다.example-logging-nonprod
. 이 프로젝트는 비프로덕션 환경에서 내보낸 로그 데이터를 호스팅하는 데 사용됩니다.example-logging-prod
. 이 프로젝트는 프로덕션 환경에서 내보낸 로그 데이터를 호스팅하는 데 사용됩니다.
프로젝트 이름은 30자(영문 기준)로 제한됩니다. 일반적으로 30자 제한 내에서 입력 가능한 경우 회사 이름을 example
자리에 사용합니다. 이후 리소스 계층 구조에서 프로젝트를 만들 때 조직의 리소스 계층 구조에 따라 <business unit name>-<team name>-<application name>-<environment>
와 같은 이름 지정 규칙을 사용하는 것이 좋습니다.
프로젝트를 만들려면 다음 안내를 따르세요.
Cloud Console에서 리소스 관리 페이지로 이동합니다.
프로젝트 만들기를 클릭합니다.
새 프로젝트 창에 앞에 나온 프로젝트 이름 중 하나를 입력합니다.
결제 계정을 선택하라는 메시지가 나타나면 이 체크리스트에서 사용할 결제 계정을 선택합니다.
위치에서 찾아보기를 클릭한 후 다음과 같이 위치를 설정합니다.
- 만들려는 프로젝트 이름이
prod
로 끝난다면 프로덕션 > 공유를 선택합니다. - 만들려는 프로젝트 이름이
nonprod
로 끝난다면 비프로덕션 > 공유를 선택합니다.
- 만들려는 프로젝트 이름이
만들기를 클릭합니다.
권장되는 프로젝트마다 2~6단계를 반복하세요.
리소스 계층 구조의 액세스 제어 설정
이 태스크에서는 리소스에 IAM 정책을 추가하여 리소스 계층 구조에 대한 액세스 제어를 설정합니다. IAM 정책은 사용자에게 부여되는 액세스 권한의 유형을 정의하는 구문 모음입니다. 정책은 리소스에 연결되며 리소스에 액세스할 때마다 액세스 제어를 적용하는 데 사용됩니다.
권한을 설정하려면 계층 구조의 다른 수준(조직, 폴더, 프로젝트)의 리소스에 동일한 기본 절차를 수행합니다. 최소 권한 원칙을 사용하여 각 수준의 리소스에 필요한 최소한의 액세스 권한을 부여하는 것이 좋습니다. 다음 절차에서 권장되는 역할들이 최소 권한 원칙을 적용하는 데 도움이 됩니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-organization-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
조직, 폴더, 프로젝트 수준의 IAM 정책을 설정합니다.
이 태스크가 권장되는 이유
리소스 계층 구조 전반에서 IAM 정책을 설정하면 클라우드 리소스에 대한 액세스를 확장 가능한 방식으로 제어할 수 있습니다.
조직 수준의 IAM 정책 설정
조직 수준에서 설정한 정책이 조직의 모든 폴더 및 프로젝트에 적용됩니다. 다음 표에는 조직 수준에서 할당한 구성원과 역할이 나와 있습니다. 이 절차를 수행하는 방법은 표 다음에 나옵니다.
구성원 | 부여할 역할 |
---|---|
gcp-network-admins@<your-domain>.com |
|
gcp-security-admins@<your-domain>.com |
|
gcp-devops@<your-domain>.com |
Resource Manager > 폴더 뷰어. 폴더를 볼 수 있는 권한을 부여합니다. |
태스크 2에서 만든
gcp-organization-admins
Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.Cloud Console에서 리소스 관리 페이지로 이동합니다.
조직 트리 그리드에서 조직을 선택합니다.
오른쪽의 정보 패널 창이 숨겨져 있는 경우 오른쪽 상단에서 정보 패널 표시를 클릭합니다.
조직의 체크박스를 선택합니다.
정보 패널 창의 권한 탭에서 구성원 추가를 클릭합니다.
새 구성원 필드에 이 표의 구성원 이름을 입력합니다. 예를 들어 이전 표에 나열된 대로
gcp-network-admins@<your-domain>.com
을 입력합니다.역할 선택 목록에서 이 표에 나열된 구성원의 첫 번째 역할을 선택합니다. 예를 들어 첫 번째 구성원의 경우 첫 번째 역할로 Compute Engine > Compute 네트워크 관리자를 선택합니다.
다른 역할 추가를 클릭한 후 구성원에 다음 역할을 추가합니다.
구성원에 다음 역할을 추가합니다.
구성원의 역할을 모두 추가한 후 저장을 클릭하세요.
이 표에 나열된 다른 구성원에 2~7단계를 반복합니다.
폴더 수준의 IAM 정책 설정
폴더 수준에서 설정한 정책은 해당 폴더의 프로젝트에도 적용됩니다. 이 절차는 계층 구조에서 다른 수준을 선택한다는 점을 제외하고는 조직용 절차와 유사합니다.
조직과 선택된 기타 리소스의 체크박스를 선택 취소합니다.
Production
폴더의 체크박스를 선택합니다.정보 패널 창의 권한 탭에서 구성원 추가를 클릭합니다.
새 구성원 필드에
gcp-devops@<your-domain>.com
을 입력합니다.조직 구성원에 역할을 추가할 때 사용한 단계를 똑같이 사용해 다음 역할을
gcp-devops@<your-domain>.com
구성원에 추가합니다.- Logging > Logging 관리자. Cloud Logging에 대한 모든 권한을 부여합니다.
- Error Reporting > Error Reporting 관리자. 오류 보고 데이터에 대한 모든 권한을 부여합니다.
- Service Management > 할당량 관리자. 서비스 할당량을 관리할 수 있는 액세스 권한을 부여합니다.
- Monitoring > Monitoring 관리자. 모니터링 데이터에 대한 모든 권한을 부여합니다.
- Compute Engine > Compute 관리자. Compute Engine 리소스에 대한 모든 권한을 부여합니다.
- Kubernetes Engine > Kubernetes Engine 관리자. Google Kubernetes Engine 컨테이너 클러스터에 대한 모든 권한을 부여합니다.
역할 추가가 완료되었으면 저장을 클릭합니다.
Production
폴더의 체크박스를 선택 취소합니다.Non-Production
폴더의 체크박스를 선택합니다.gcp-developers@<your-domain>.com
을 새 구성원으로 추가합니다.다음 IAM 역할을
gcp-developers@<your-domain>.com
구성원에 할당합니다.- Compute Engine > Compute 관리자. Compute Engine 리소스에 대한 모든 권한을 부여합니다.
- Kubernetes Engine > Kubernetes Engine 관리자. Google Kubernetes Engine 컨테이너 클러스터에 대한 모든 권한을 부여합니다.
프로젝트 수준의 IAM 정책 설정
프로젝트 수준에서 설정한 정책은 적용되는 프로젝트에만 적용됩니다. 이를 통해 개별 프로젝트의 권한을 세분화해 설정할 수 있습니다.
폴더와 선택된 기타 리소스에 대한 체크박스를 선택 취소합니다.
다음 프로젝트의 체크박스를 선택합니다.
example-vpc-host-nonprod
example-vpc-host-prod
gcp-network-admins@<your-domain>.com
을 구성원으로 추가합니다.다음 역할을
gcp-network-admins@<your-domain>.com
구성원에 할당합니다.- 프로젝트 > 소유자. 선택한 프로젝트의 전체 리소스에 대한 모든 권한을 부여합니다.
저장을 클릭합니다.
선택한 프로젝트의 체크박스를 선택 취소합니다.
다음 프로젝트의 체크박스를 선택합니다.
example-monitoring-nonprod
example-monitoring-prod
example-logging-nonprod
example-logging-prod
gcp-devops@<your-domain>.com
을 새 구성원으로 추가합니다.다음 역할을
gcp-devops@<your-domain>.com
구성원에 할당합니다.- 프로젝트 > 소유자. 선택한 프로젝트의 전체 리소스에 대한 모든 권한을 부여합니다.
저장을 클릭합니다.
지원 설정
이 태스크에서는 지원 옵션을 선택할 수 있습니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-organization-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
회사의 니즈에 따라 지원 요금제를 선택합니다.
이 태스크가 권장되는 이유
프리미엄 지원 요금제는 비즈니스와 관련해 중요도가 높은 지원을 제공하여 Google 전문가의 도움을 통해 신속하게 문제를 해결할 수 있도록 합니다.
지원 옵션 선택
모든 Google Cloud 고객은 자동으로 무료 지원을 받으며, 여기에는 지원 제품 문서, 커뮤니티 지원, 결제 문제 지원이 포함됩니다. 하지만 엔터프라이즈 고객은 Google 지원 엔지니어의 1:1 기술 지원을 제공하는 프리미엄 지원 요금제에 가입하는 것이 좋습니다. 자세한 내용은 지원 요금제를 비교해 살펴보세요.
지원 요금제를 확인하고 사용할 요금제를 선택합니다. 나중 단계에서 지원 요금제를 설정할 수 있습니다. 무료 지원 옵션을 유지하기로 결정해도 다음 태스크를 계속 진행할 수 있습니다.
태스크 2에서 만든
gcp-organization-admins
Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.지원 요금제를 설정합니다.
프리미엄 지원을 요청하려면 Google 영업 담당자에게 문의하세요. 담당자가 없다면 영업팀에 문의하세요.
역할 기반 지원을 사용 설정하려면 Google Cloud Console의 역할 기반 지원 사용 설정 페이지로 이동한 다음 화면에 표시되는 메시지에 따라 필요한 단계를 완료합니다.
지원 사용자 역할의 안내를 따라 Google Cloud 지원팀과 연락해야 하는 사용자마다 지원 사용자 및 조직 뷰어 역할을 할당합니다.
네트워킹 구성 설정
이 태스크에서는 초기 네트워킹 구성을 설정합니다. 일반적으로 다음과 같이 수행해야 합니다.
- Virtual Private Cloud 아키텍처를 설계하고 만들고 구성합니다.
- 온프레미스 네트워킹 또는 다른 클라우드 제공업체의 네트워킹이 있는 경우 해당 제공업체와 Google Cloud 간에 연결을 구성합니다.
- 외부 이그레스 트래픽 경로를 설정합니다.
- 방화벽 규칙과 같은 네트워크 보안 제어를 구현합니다.
- 클라우드에서 호스팅되는 서비스에 원하는 인그레스 트래픽 옵션을 선택합니다.
이 태스크에서는 항목 1을 자체 Virtual Private Cloud 아키텍처의 기준으로 한 예시를 보여줍니다.
외부 연결, 이그레스 트래픽 구성, 방화벽 규칙 구현, 인그레스 옵션 선택 등 나머지 항목은 비즈니스 요구에 따라 달라집니다. 따라서 이 체크리스트에서는 이 같은 항목을 다루지 않습니다. 대신, 해당 항목에 대한 추가 정보가 담긴 링크를 제공합니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-network-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
초기 네트워킹 구성을 설정합니다.
- 공유 VPC 네트워크 만들기
- 외부 제공업체 및 Google Cloud 간 연결 구성
- 외부 이그레스 트래픽 경로 설정
- 네트워크 보안 제어 구현
- 인그레스 트래픽 옵션 선택
이 태스크가 권장되는 이유
공유 VPC를 사용하면 별도의 팀은 서로 다른 여러 제품에서 일반적인 중앙 관리형 VPC 네트워크에 연결할 수 있습니다.
하이브리드 연결을 구성하면 서비스 종속 항목에 대한 연결을 유지하면서 애플리케이션을 Google Cloud로 원활하게 마이그레이션할 수 있습니다.
처음부터 안전한 인그레스 및 이그레스 경로를 설계하면 팀은 보안을 침해하지 않고 Google Cloud에서 생산성을 발휘할 수 있습니다.
Virtual Private Cloud 아키텍처
Google에서 제공하는 Virtual Private Cloud(VPC)는 Compute Engine 가상 머신 인스턴스, GKE 컨테이너, App Engine 가변형 환경과 같은 Google Cloud 리소스에 네트워킹 기능을 제공합니다. 다음 다이어그램에서는 기본적인 멀티 리전 아키텍처를 보여줍니다.
이 아키텍처에는 공유 VPC 호스트 프로젝트가 2개 있습니다. 즉, 프로덕션 환경용 호스트 프로젝트와 비프로덕션 환경용 호스트 프로젝트가 포함되어 있습니다. 공유 VPC를 사용하는 조직은 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결할 수 있으므로 리소스가 해당 네트워크의 내부 IP 주소를 사용하여 서로 안전하고 효율적으로 통신할 수 있습니다.
공유 VPC 호스트 프로젝트에는 공유 VPC 네트워크가 하나 이상 포함됩니다. 이 아키텍처에서는 각 공유 VPC 네트워크(프로덕션 및 비프로덕션)에 두 리전(이 경우 us-east1
및 us-west1
)의 공개 및 비공개 서브넷이 포함됩니다.
- 공개 서브넷은 외부 연결을 위해 인터넷에 연결되는 인스턴스에서 사용할 수 있습니다.
- 비공개 서브넷은 내부 방향의 인스턴스에만 사용할 수 있으며 공개 IP 주소를 할당하면 안 됩니다.
앞의 다이어그램에 표시된 아키텍처는 다양한 리소스의 예시 이름을 사용합니다. 자체 설정에서는 회사(예시 이름의 example
) 및 사용 리전(예시의 us-east1
및 us-west1
)과 같은 이름 요소를 변경하면 됩니다.
공유 VPC 네트워크 만들기
프로젝트 선택기 페이지에서
example-vpc-host-nonprod
를 선택합니다.네트워크 삭제의 안내에 따라
default
라는 이름이 지정된 VPC 네트워크를 삭제합니다.안내에 따라 다음 값을 사용해 커스텀 모드 네트워크를 만듭니다.
- 이름에
example-shared-vpc-nonprod-1
을 입력합니다. - 새 서브넷 섹션 매개변수에 대해서는 다음을 따릅니다.
- 이름에
example-nonprod-us-east1-subnet-public
를 입력합니다. - IP 주소 범위에
10.1.0.0/24
를 입력합니다(IP 주소가 기존 네트워크 IP 범위와 충돌하지 않고 호스팅 요구사항을 충족할 수 있는 경우에 한함). - 비공개 Google 액세스에서 켜기를 선택해 VM이 외부 IP 주소 없이 Google API와 통신하도록 사용 설정합니다.
- 이름에
- 서브넷 추가를 선택하고 안내에 따라 다음 서브넷 이름을 추가합니다.
example-nonprod-us-east1-subnet-private
IP address range: 10.2.0.0/24
example-nonprod-us-west1-subnet-public
IP address range: 10.3.0.0/24
example-nonprod-us-west1-subnet-private
IP address range: 10.4.0.0/24
- 이름에
다음 값을 사용해 공유 VPC 호스트 프로젝트를 사용 설정합니다.
- 프로젝트로
example-vpc-host-nonprod
를 선택합니다. - 서브넷 선택에서 개별 서브넷(서브넷 수준 권한)을 클릭하고 전에 만든 비프로덕션 서브넷을 모두 선택합니다.
- 서비스 프로젝트 연결에서 남은 모든 모니터링 및 로깅 비프로덕션 프로젝트를 연결합니다.
- 프로젝트로
프로젝트 선택기 페이지에서
example-vpc-host-prod
를 선택합니다.프로덕션 환경에 2~4단계를 반복하세요. 전에 만든 프로덕션 서브넷을 모두 선택해야 합니다.
외부 제공업체 및 Google Cloud 간 연결 구성
온프레미스 네트워킹 또는 다른 클라우드 제공업체의 네트워킹이 있는 경우 IPSec VPN 연결을 통해 피어 네트워크를 Google Cloud VPC 네트워크에 안전하게 연결하는 데 도움이 되는 서비스인 Cloud VPN을 설정할 수 있습니다. Cloud VPN은 최대 3.0Gbps의 속도에 적합합니다. 온프레미스 시스템을 Google Cloud에 연결하는 데 더 높은 대역폭이 필요하면 Partner Interconnect 및 Dedicated Interconnect를 참조하세요.
VPN 연결을 만들려면 이전 절차에서 만든 프로덕션 및 비프로덕션 공유 VPC 네트워크 모두에서 게이트웨이 및 터널 만들기의 안내를 따르세요.
외부 이그레스 트래픽 경로 설정
Cloud NAT를 사용하면 외부 IP 주소를 사용하지 않고도 VM에서 인터넷에 연결할 수 있습니다. Cloud NAT는 리전별 리소스입니다. 특정 리전에서 서브넷의 모든 기본 및 보조 IP 범위에서 발생하는 트래픽을 허용하도록 구성하거나 해당 범위 중 일부에만 적용하도록 구성할 수 있습니다.
프로덕션 및 비프로덕션 네트워크 모두 이전 절차에서 만든 공유 VPC 네트워크의 모든 리전에 NAT 만들기의 안내를 따르세요.
네트워크 보안 제어 구현
방화벽 규칙을 사용하면 개발자가 지정한 구성을 기준으로 가상 머신(VM) 인스턴스 간의 트래픽을 허용하거나 거부할 수 있습니다. 방화벽 규칙 사용의 안내를 따라 이전 절차에서 만든 프로덕션 및 비프로덕션 공유 VPC 네트워크의 제어를 구성하세요.
인그레스 트래픽 옵션 선택
Cloud Load Balancing을 사용하면 단일 또는 여러 리전에 컴퓨팅 리소스를 배포할 수 있습니다. 수신되는 외부 트래픽과 VPC 네트워크 내부 트래픽 모두의 고가용성 요구사항을 충족할 수 있습니다. Google Cloud에서 애플리케이션 아키텍처를 계획할 때 부하 분산기 선택을 검토하여 필요한 부하 분산기 유형을 결정하세요.
로깅 및 모니터링 설정
이 태스크에서는 Cloud Logging 및 Cloud Monitoring을 사용하여 기본 로깅 및 모니터링 기능을 설정합니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-devops@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
Cloud Logging 및 Cloud Monitoring을 사용하여 기본 로깅 및 모니터링 기능을 설정합니다.
이 태스크가 권장되는 이유
종합적인 로깅 및 모니터링은 클라우드 환경에서 관측 가능성을 유지하는 데 핵심적인 요소입니다. 처음부터 적절한 로깅 보관을 구성하면 감사 추적이 빌드 및 보존되는 동시에 중앙 집중식 모니터링을 설정하면 팀에게 환경을 볼 수 있는 중앙 대시보드가 제공됩니다.
모니터링 설정
Cloud Monitoring은 Google Cloud 서비스, 호스팅된 업타임 프로브, 애플리케이션 계측, 기타 공통 애플리케이션 구성요소의 측정항목, 이벤트, 메타데이터를 수집합니다.
태스크 2에서 만든
gcp-devops
그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.호스트 프로젝트를 사용하여 모니터링을 위한 작업공간을 만듭니다. 작업공간의 첫 번째 모니터링 대상 Google Cloud 프로젝트가 호스트 프로젝트가 됩니다. 호스트 프로젝트 역할을 할 프로젝트를 올바르게 선택해야 합니다. 프로젝트를 선택하라는 메시지가 나타나면 태스크 5에서 만든 비프로덕션 모니터링 프로젝트(
example-monitoring-nonprod
)를 선택합니다.이 작업공간에서 모니터링할 다른 프로젝트를 추가합니다. 예를 들어 다른 비프로덕션 프로젝트를 모두 추가합니다.
프로덕션 프로젝트에 이 절차를 반복합니다.
example-monitoring-prod
를 작업공간 프로젝트로 사용하고 모니터링할 프로덕션 프로젝트를 추가합니다.
로깅 설정
Cloud Logging을 사용하면 Google Cloud와 Amazon Web Services(AWS)의 로그 데이터 및 이벤트를 저장, 검색, 분석, 모니터링하고 알림을 받을 수 있습니다. Cloud Logging으로 소스에 상관없이 커스텀 로그 데이터를 수집하고 외부 데이터 싱크로 로그를 내보낼 수도 있습니다.
태스크 2에서 만든
gcp-devops
그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.다음 값을 사용하여 BigQuery의 로깅 내보내기를 사용 설정합니다.
example-logging-nonprod
프로젝트를 선택합니다.- BigQuery 데이터 세트를 만듭니다.
데이터 세트 ID에
example_logging_export_nonprod
와 같은 이름을 사용합니다. - 데이터 세트 이름을 지정한 후 데이터 세트 만들기를 클릭합니다.
example-logging-prod
프로젝트에 이전 단계를 반복하되, 데이터 세트 ID에example_logging_export_prod
를 사용합니다.로그 보관 기간을 검토해 규정 준수 요구사항을 충족하는지 확인합니다. 요구사항을 충족하지 않을 경우 Cloud Storage로 로그 내보내기를 설정하면 장기 보관에 도움이 될 수 있습니다.
조직 보안 설정 구성
이 태스크에서는 조직을 보호하는 데 도움이 되는 Google Cloud 제품을 구성합니다. Google Cloud는 다양한 보안 제품군을 제공합니다.
이 태스크를 수행할 수 있는 사용자
태스크 2에서 만든 gcp-organization-admins@<your-domain>.com
그룹에 속한 사용자입니다.
수행할 작업
- Security Command Center 대시보드를 사용 설정합니다.
- 조직 정책을 설정합니다.
이 태스크가 권장되는 이유
다음과 같은 2가지 제품을 설정하는 것이 좋습니다.
Security Command Center. 이 포괄적인 보안 관리 및 데이터 위험 플랫폼을 통해 클라우드 자산을 모니터링하고, 스토리지 시스템에서 민감한 정보를 검색하고, 일반적인 웹 취약점을 감지하고, 중요 리소스에 대한 액세스 권한을 검토할 수 있습니다.
조직 정책 서비스. 이 서비스를 통해 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다.
제품 설정
태스크 2에서 만든
gcp-organization-admins
그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.부울 제약조건에 대한 정책 맞춤설정에 나온 단계를 따라 다음과 같은 세부정보를 사용하여 조직 정책을 설정하세요.
- 다음 변경사항으로 기본 네트워크 생성 건너뛰기 제약조건을 설정하세요.
- 프로젝트, 폴더, 조직 중 선택하라는 메시지가 표시되면 조직을 선택합니다.
- 조직 정책 페이지의 목록에서 제약조건을 선택하라는 메시지가 표시되면 기본 네트워크 생성 건너뛰기를 선택합니다.
- 시행 옵션을 선택하라는 메시지가 표시되면 설정을 선택합니다.
- 도메인으로 제한된 공유 제약조건을 설정합니다.
- VM 인스턴스에 대한 외부 IP 주소 액세스를 사용 중지합니다.
- 다음 변경사항으로 기본 네트워크 생성 건너뛰기 제약조건을 설정하세요.