Google Cloud 설정 체크리스트

시작하기 전에

• Google Cloud 계정 보호를 돕기 위해 최고 관리자 계정 권장사항을 확인하고 활용합니다.
• Google Cloud에 연결하려는 도메인(예: example.com)의 관리자 사용자 인증 정보를 수집합니다. 이러한 사용자 인증 정보는 설정 중 DNS 설정을 조정하기 위해 필요합니다.
• Google Cloud 조직의 복구 주소로 사용할 기본 이메일 계정(예: maria@example.com)을 식별합니다. 가입 프로세스를 시작하면 Cloud ID에서 먼저 이 주소를 요청합니다.
• 첫 번째 Google Cloud 최고 관리자 계정(예: admin@example.com)에 연결할 다른 보조 식별자를 식별합니다. 이 식별자는 계정 복구에 사용되는 기본 식별자와 달라야 합니다. 위에서 설명한 계정 복구 주소를 제공한 후에 Cloud ID에서 이 주소를 요청합니다.
• 권장사항을 사용하여 Google Cloud 계정을 보호합니다. 특히 복구 및 최고 관리자 계정을 특정 사용자 ID에 연결하지 않도록 하고, Google Cloud 계정을 관리 또는 복구하기 위해 필요한 경우에만 액세스합니다.

실습할 내용

이 첫 번째 태스크에서는 다음을 수행합니다.

• 계정 복구에 사용할 초기 이메일 주소를 제공합니다.
• 첫 번째 Google Cloud 최고 관리자 사용자를 위한 관리되는 사용자 계정을 만듭니다.
• Google Cloud에서 회사 도메인(예: example.com)을 확인합니다.

이 작업을 완료하면 Google Cloud에서 조직 리소스라고 하는 리소스 계층 구조의 루트 노드를 만듭니다.

Google Workspace Admin Console에서 Cloud ID를 사용하여 이 태스크를 완료합니다. Cloud ID는 Google 서비스 간의 통합 ID, 액세스, 애플리케이션, 엔드포인트 관리를 제공합니다. 이 서비스는 50개 무료 사용자 라이선스를 제공하며, 필요에 따라 무료 라이선스를 더 요청할 수 있습니다. Cloud ID 사용자는 또한 조직의 Google 드라이브, Google Keep, Google 그룹스 서비스에 액세스할 수 있습니다.

Google Cloud는 Cloud ID를 독립형 제품 또는 번들로 제공되는 Google Workspace로 제공합니다. Google Workspace는 Gmail, Calendar, Meet, Chat 등의 익숙한 생산성 및 공동작업 도구를 갖춘 Cloud ID를 제공합니다. 몇 가지 무료 체험 옵션이 있습니다. 일부 기업은 일부 사용자에 대해 독립형 Cloud ID 라이선스를 조합하여 비용을 절감하고, Google Workspace 라이선스는 추가 공동작업 도구가 필요한 사용자에게만 제공됩니다.

필수 권한

이 작업에서는 Google Cloud 조직의 첫 번째 최고 관리자를 만듭니다. 최고 관리자는 취소할 수 없는 조직 루트 관리자 권한을 가지며 다른 사용자에게 동일한 역할을 부여할 수 있습니다.

보안 권장사항

최고 관리자 계정 보안은 Google Cloud 조직의 보안에 매우 중요합니다. 최고 관리자 계정을 만들 때는 Google Cloud 최고 관리자 계정 권장사항을 검토하고 따르세요.

절차

이 태스크를 완료하려면 신규 고객인지 아니면 현재 Google Workspace 고객인지 선택합니다.

문제 해결하기

내 도메인으로 Google 서비스에 가입할 수 없음

일반적인 문제 및 해결 방법에 대한 자세한 내용은 Google 서비스에 도메인을 등록할 수 없음을 참조하세요.

Google 계정이 이미 존재함

해결 방법은 'Google 계정이 이미 존재합니다' 오류를 참조하세요.

내 계정에 회사의 GCP 조직을 관리하거나 사용할 권한이 없음

이 오류는 회사의 도메인이 이미 확인되었고 최고 관리자가 존재함을 의미합니다. Google Cloud 조직을 관리할 수 있는 액세스 권한이 필요하다면 회사 내 관리자에게 액세스 권한을 부여해 달라고 요청하세요.

방화벽에 오류가 표시되며 도메인을 확인할 수 없습니다.

회사에 특정 URL을 거부하는 프록시 서버가 사용되는 경우 도메인 등록을 시도할 때 오류가 발생합니다. 이 시나리오는 금융 기관과 같은 고급 보안 설정을 이용하는 고객들에게 일반적입니다. 이 오류가 표시되면 프록시 서버가 다음 URL을 명시적으로 허용하는지 확인합니다.

필수 URL	이 사항이 중요한 이유
accounts.google.com	Google Cloud에 대한 SAML SSO 제휴 및 Cloud Console에 대한 SSO 로그인에 필요합니다. 참고: Google 백엔드에서 고객 도메인이 허용 목록에 추가된 후에 작동합니다.
www.googleapis.com	SSO 제휴가 사용되는 경우 로그인 시 AD 동기화를 위해 필요합니다.
https://console.cloud.google.com/	Cloud Console에 액세스하기 위해 필요합니다 Cloud Console의 기본 도메인 및 Cloud Console에 표시하는 데 사용되는 글꼴입니다.
fonts.googleapis.com	Cloud Console 글꼴 참고: 이 글꼴 없이도 Cloud Console이 계속 작동하지만 이상하게 보일 수 있습니다.
*.clients6.google.com	Cloud Console에 필요합니다. Cloud Console에서 정보를 콘솔에 표시하는 데 사용하는 서비스 API gRPC 엔드포인트입니다.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Cloud Console에 필요합니다. Cloud Console의 정적 콘텐츠 및 API로 일부 API는 커스텀 인증서용 공개 키를 저장합니다.
cloud.google.com	Google Cloud 문서 및 도움말 페이지에 액세스하는 데 필요합니다.
ssh.cloud.google.com	Cloud Shell에 필요(원하는 경우)
apis.google.com *.googleapis.com	Google Cloud의 원격 API 액세스를 위해 필요합니다. (Cloud Console의 경우 선택사항, SDK/CLI 사용 시 비공개 또는 제한된 API 액세스 선호)
admin.google.com	Google Workspace 관리 콘솔(Cloud ID)을 사용할 때의 선택 사항
payments.google.com	결제 정보, Google 관리 콘솔 구독 및 결제 계정을 제출할 때의 선택 사항

추가 리소스

이 태스크와 관련된 ID 및 기타 주제에 대해 자세히 알아볼 수 있는 몇 가지 추가 주제는 다음과 같습니다.

• 조직 만들기 및 관리 개요
• 계정 및 조직 계획을 위한 권장사항
• ID 설정 액세스 및 계획
• Cloud ID Free Edition
• 도메인 확인:
  • 문서
  • 동영상 둘러보기
• Google Workspace 관리자 역할
• Cloud ID 관리자 역할

이 태스크를 위해 관리자 사용자를 위한 관리 Google 계정을 만듭니다.

이 태스크를 수행할 수 있는 사용자

회사에서 Google Cloud의 ID 관리자 역할을 담당할 사람입니다.

이 태스크에서 수행하는 작업

• 체크리스트 태스크에 참여할 사용자를 Cloud ID 계정에 추가합니다.
• Google 그룹스 집합을 만듭니다.
• 체크리스트 태스크에 참여할 사용자를 Google 그룹스에 추가합니다.

이 태스크가 권장되는 이유

ID 및 액세스 관리(IAM) 역할을 할당하려면 나중에 액세스를 제어할 수 있도록 사용자 계정 및 Google 그룹스를 만들어야 합니다.

초기 사용자 추가

이 온보딩 체크리스트를 용도에 맞게 활용하려면 클라우드 설정 업무에 관여하는 관리자 및 의사 결정권자 등 체크리스트 태스크에 참여할 사용자를 먼저 추가하는 것이 좋습니다. 사용자를 모두 추가하지 않은 상태로 체크리스트의 나머지 작업을 진행할 수 있습니다. 이 태스크의 후반부에서는 사용자 그룹을 만듭니다. 이 체크리스트를 완료한 후에는 후반부에 설명할 도구 중 하나를 사용하여 더 많은 수의 사용자로 확장할 수 있습니다.

1. 태스크 1에서 Cloud ID 계정을 설정할 때 만든 최고 관리자 계정을 사용하여 Google Workspace 관리 콘솔에 로그인합니다.

2. 다음 옵션 중 하나를 사용해 사용자를 추가합니다.

   • 여러 사용자를 한 번에 추가합니다.
   • 사용자를 개별적으로 추가합니다.

Google 그룹스 만들기

다음으로 Google 그룹스 집합을 만듭니다. Google 그룹스를 사용하면 Cloud ID 또는 Google Workspace 사용자 그룹에 권한을 빠르게 할당할 수 있습니다. 그룹의 권한은 이 체크리스트 후반에 설정합니다.

처음에는 다음 Google 그룹스를 만드는 것이 좋습니다.

• gcp-organization-admins
• gcp-network-admins
• gcp-security-admins
• gcp-billing-admins
• gcp-devops
• gcp-developers

이 그룹은 나중에 Google Cloud 액세스 권한을 추가할 때 설정 과정에서 필수적입니다. 이러한 그룹을 권장하는 이유에 대한 자세한 내용은 기업 조직을 위한 권장 사항 가이드를 참조하세요.

1. 그룹 생성 방법 주제를 열고 관리 콘솔을 선택하고 안내에 따라 각 권장 Google 그룹스를 만듭니다.

2. 각 Google 그룹에 사용자를 추가합니다. 이 체크리스트를 완료하려면 다음 각 그룹에 사용자를 1명 이상 추가해야 합니다.

   • gcp-organization-admins
   • gcp-network-admins
   • gcp-billing-admins
   • gcp-devops

기존 일반 계정 평가

조직의 일부 직원이 현재 일반 계정을 사용하여 Google 서비스에 액세스하고 있는지 평가하고 이러한 직원을 Cloud ID 또는 Google Workspace로 마이그레이션할지 결정합니다.

사용자 프로비저닝 자동화 및 싱글 사인온(SSO) 사용 설정

조직에서 이미 Active Directory, Azure AD, Okta 또는 Ping Identity 등의 ID 공급업체를 사용하고 있는 경우 페더레이션을 사용하여 Google Cloud와 이 외부 IdP를 통합할 수 있습니다.

• Cloud ID를 Active Directory와 페더레이션하여 자동으로 사용자를 프로비저닝하고 싱글 사인온(SSO)을 사용 설정합니다.
• Azure Active Directory와 통합
• Google Workspace Admin SDK를 사용하여 커스텀 솔루션을 만듭니다.

이 태스크로 조직에 속한 모든 클라우드 리소스를 중앙에서 파악하고 제어할 수 있는 능력을 관리자에게 제공하는 조직 관리자 액세스 권한을 설정합니다.

이 태스크를 수행할 수 있는 사용자

회사에서 이미 유료 Google Workspace 서비스를 사용하고 있다면 Google Workspace 최고 관리자 액세스 권한이 있는 사람이 이 단계를 수행해야 합니다. 그렇지 않은 경우 태스크 2에서 만든 Cloud ID 계정을 사용합니다.

이 태스크에서 수행하는 작업

• 조직 생성 여부를 확인합니다.
• 태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹에 관리 역할을 할당합니다.
• 체크리스트 뒷부분의 태스크를 수행할 수 있도록 본인과 조직의 다른 관리자에게 관리자 권한을 추가합니다.

이 태스크가 권장되는 이유

보안상의 이유로 조직의 모든 관리자 역할을 명시적으로 정의해야 합니다. 최고 관리자 역할과 조직 관리자 역할 분리는 GCP 보안 권장사항입니다. 최고 관리자 역할은 Cloud ID 및 Google Workspace에서 다른 모든 ID를 관리하며 루트 Google Cloud 조직을 만드는 데 필요합니다. 자세한 내용은 최고 관리자 권장사항을 참조하세요.

조직 생성 여부 확인

1. 태스크 1에서 설정하는 Cloud ID 최고 관리자 계정 또는 Google Workspace 최고 관리자 계정을 사용하여 Cloud Console에 로그인합니다.

2. ID 및 조직 페이지로 이동하여 조직 만들기를 완료합니다. 링크로 이동한 후 프로세스가 완료될 때까지 몇 분 정도 기다려야 할 수 있습니다.

3. 조직 이름이 조직 선택 목록에 표시되어야 합니다. 태스크 1의 단계에서 조직을 만드는 데 몇 분 정도 걸릴 수 있습니다. 조직 이름이 표시되지 않는다면 잠시 기다렸다가 페이지를 새로고침해 보세요.

관리자 액세스 권한 설정

다음으로 태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹에 관리자 역할을 할당합니다.

1. 다음과 같이 변경하여 액세스 권한 부여 단계를 완료합니다.

   • Cloud Console에서 IAM 페이지를 연 후 페이지 상단의 조직 목록에서 조직 이름이 선택되어 있는지 확인하세요.

   • 이메일 주소를 입력하라는 메시지가 나타나면 gcp-organization-admins@<your-domain>.com을 사용합니다.

   • 역할을 선택하라는 메시지가 나타나면 Resource Manager > 조직 관리자를 선택합니다.

2. 첫 번째 역할을 추가한 후 다른 역할 추가를 클릭하고 gcp-organization-admins@<your-domain>.com 구성원에 다음 역할을 추가합니다.

   • Resource Manager > 폴더 관리자
   • 리소스 관리자 > 프로젝트 생성자
   • 결제 > 결제 계정 사용자
   • 역할 > 조직 역할 관리자
   • 조직 정책 > 조직 정책 관리자
   • 보안 센터 > 보안 센터 관리자
   • 지원 > 지원 계정 관리자

3. 역할을 모두 추가한 후 저장을 클릭합니다.

이 태스크에서는 Google Cloud 리소스 요금을 지불할 결제 계정과 결제 계정의 관리자 액세스 권한을 설정합니다.

이 태스크를 준비할 때 설정에 사용할 결제 계정 유형을 결정해야 합니다.

• 셀프 서비스. 신용카드, 체크카드 또는 ACH 자동이체를 사용해 온라인에서 가입합니다. 비용이 자동으로 청구됩니다.
• 인보이스 결제. 셀프서비스 결제를 이미 설정한 경우 비즈니스가 특정 요구사항을 충족하면 계정 유형을 월별 인보이스 결제로 전환할 수 있습니다. 인보이스는 우편 또는 전자 방식으로 전송되며 수표나 은행 송금으로 결제될 수 있습니다.

자세한 내용은 결제 계정 유형을 참조하세요.

이 태스크를 수행할 수 있는 사용자

이 태스크를 수행하려면 여러 사람이 필요합니다.

1. 태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹의 사람

2. 태스크 2에서 만든 gcp-billing-admins@<your-domain>.com 그룹의 사람

이 태스크에서 수행하는 작업

• 태스크 2에서 만든 gcp-billing-admins@<your-domain>.com 그룹에 관리 액세스 권한을 할당합니다.
• 셀프 서비스 또는 인보이스 결제 계정 사용 여부를 결정합니다.
• 결제 계정 및 결제 수단을 설정합니다.

이 태스크가 권장되는 이유

Google Cloud 제품을 사용하려면 Cloud Billing 계정이 필요합니다. Cloud Billing 계정은 하나 이상의 Google Cloud 프로젝트와 연결되며 가상 머신, 네트워킹, 스토리지 등 사용한 리소스의 요금을 지불하는 데 사용됩니다. IAM 역할은 Cloud Billing 계정에 대한 액세스를 제어합니다.

관리자 액세스 권한 설정

결제 계정 관리자 IAM 역할이 할당된 팀 구성원은 결제 및 인보이스 관리, 예산 설정, 프로젝트와 결제 계정의 연결과 같은 태스크를 수행할 수 있습니다. 이 역할은 팀 구성원에게 프로젝트 콘텐츠를 볼 수 있는 권한을 부여하지 않습니다.

1. 태스크 2에서 만든 gcp-organization-admins Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

2. 다음과 같이 변경하여 액세스 권한 부여 단계를 완료합니다.

   • 이메일 주소를 입력하라는 메시지가 나타나면 gcp-billing-admins@<your-domain>.com을 사용합니다.

   • 역할을 선택하라는 메시지가 나타나면 결제 > 결제 계정 관리자를 선택합니다.

   • 첫 번째 역할을 추가한 후 다른 역할 추가를 클릭하고 gcp-billing-admins@<your-domain>.com 구성원에 다음 역할을 추가합니다.

     • 결제 > 결제 계정 생성자
     • Resource Manager > 조직 뷰어

결제 계정 설정

다음으로 Cloud Billing 계정을 설정합니다. 결제 계정에는 2가지 유형이 있습니다.

• 셀프 서비스. 신용카드, 체크카드 또는 ACH 자동이체를 사용해 온라인에서 가입합니다. 비용이 자동으로 청구됩니다.

• 인보이스 결제. 수표 또는 은행 송금을 통해 대금을 결제합니다. 우편이나 전자 방식으로 인보이스가 발송됩니다.

결제 계정에 온라인으로 가입하면 계정이 셀프 서비스 유형으로 자동 설정됩니다. 인보이스 계정은 온라인으로 가입할 수 없으며 인보이스 결제를 신청해야 합니다. 자세한 내용은 결제 계정 유형을 참조하세요.

결제 계정 설정 후

청구서를 보고 놀라는 일이 없도록 비용을 모니터링하려면 Cloud Billing 계정을 설정한 후 각 결제 계정에 대해 다음 결제 권장사항을 구현하는 것이 좋습니다.

• Cloud Billing 데이터를 BigQuery 데이터 세트로 내보내기
• 지출이 특정 기준에 도달하면 알림을 생성하도록 예산 정의

결제 권장사항에 대한 자세한 내용은 기업 조직 권장사항의 결제 및 관리 섹션을 참조하세요.

이 태스크에서는 리소스 계층 구조의 기본 폴더 및 프로젝트 구조를 만듭니다.

• 폴더는 프로젝트 간의 그룹화 메커니즘과 격리 경계를 제공합니다. 예를 들어 폴더는 재무 또는 소매와 같은 조직의 주요 부서 또는 프로덕션 및 비프로덕션과 같은 환경을 나타낼 수 있습니다.

• 프로젝트에는 가상 머신, 데이터베이스, 스토리지 버킷 같은 클라우드 리소스가 포함되어 있습니다. 프로젝트 관련 권장사항은 프로젝트 구조 지정을 참조하세요.

IAM 정책을 설정하여 리소스 계층 구조의 여러 수준에서 액세스를 제어할 수 있습니다. 이러한 정책은 이 체크리스트에서 후반 태스크로 설정합니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹에 속한 사용자입니다.

이 태스크에서 수행하는 작업

폴더와 프로젝트로 초기 계층 구조를 만듭니다.

이 태스크가 권장되는 이유

리소스 계층 구조의 여러 수준에서 액세스를 제어하기 위해서는 IAM 정책을 설정하는 후반 태스크에서 구조를 만들어야 합니다.

리소스 계층 구조 다이어그램

리소스 계층 구조를 만드는 방법에는 여러 가지가 있습니다. 다음 다이어그램에서는 일반적인 예시를 보여줍니다.

이 예시에서는 조직 리소스 계층 구조에 3개 수준의 폴더가 포함되어 있습니다.

• 환경(비프로덕션 및 프로덕션) 환경을 서로 격리하면 프로덕션 환경에 대한 액세스를 보다 효과적으로 제어하고 비프로덕션 변경사항이 의도치 않게 프로덕션에 영향을 미치는 것을 방지할 수 있습니다.

• 사업부: 다이어그램에서 사업부는 엔지니어링 및 마케팅 등의 사업부일 수 있는 Dept X 및 Dept Y, 그리고 네트워킹, 로깅, 모니터링 등 계층 구조 전체에 공유되는 리소스를 포함하는 프로젝트가 있는 Shared 폴더로 표시됩니다.

• 팀: 다이어그램에 Team A, Team B, Team C로 표시되며 개발, 데이터 과학, QA 등의 팀일 수 있습니다.

초기 리소스 계층 구조 만들기

이 체크리스트 단계에서는 다음 다이어그램과 같이 초기 설정에 해당하는 기본 폴더 및 프로젝트를 만듭니다. 이 폴더 및 프로젝트는 체크리스트의 나머지 태스크에서 사용됩니다. 나중에 이 계층 구조에 내 조직을 반영할 수 있으며 Google Cloud에서 워크로드가 늘어나면 회사의 니즈에 맞게 맞춤설정할 수 있습니다.

초기 계층 구조를 만든 후 프로젝트를 만듭니다. 프로덕션 환경과 비프로덕션 환경을 구분하는 원칙에 따라 다음 프로젝트를 만들어야 합니다.

• example-vpc-host-nonprod. 이 프로젝트를 사용하면 여러 프로젝트의 비프로덕션 리소스를 공통 VPC 네트워크에 연결하는 데 도움이 됩니다.

• example-vpc-host-prod-draft. 이 프로젝트는 여러 프로젝트의 프로덕션 리소스를 공통 VPC 네트워크에 연결하는 자리표시자입니다.

• example-monitoring-nonprod. 이 프로젝트는 비프로덕션 모니터링 리소스를 호스팅하는 데 사용됩니다.

• example-monitoring-prod-draft. 이 프로젝트는 프로덕션 모니터링 리소스를 호스팅하는 자리표시자입니다.

• example-logging-nonprod. 이 프로젝트는 비프로덕션 환경에서 내보낸 로그 데이터를 호스팅하는 데 사용됩니다.

• example-logging-prod-draft. 이 프로젝트는 프로덕션 환경에서 내보낸 로그 데이터를 호스팅하는 데 사용되는 자리표시자입니다.

프로젝트 이름은 30자(영문 기준)로 제한됩니다. 일반적으로 30자 제한 내에서 입력 가능한 경우 회사 이름을 example 자리에 사용합니다. 이후 리소스 계층 구조에서 프로젝트를 만들 때 조직의 리소스 계층 구조에 따라 <business unit name>-<team name>-<application name>-<environment>와 같은 이름 지정 규칙을 사용하는 것이 좋습니다.

프로젝트를 만들려면 다음 안내를 따르세요.

1. Cloud Console에서 리소스 관리 페이지로 이동합니다.

2. 프로젝트 만들기를 클릭합니다.

3. 새 프로젝트 창에 앞에 나온 프로젝트 이름 중 하나를 입력합니다.

4. 결제 계정을 선택하라는 메시지가 나타나면 이 체크리스트에서 사용할 결제 계정을 선택합니다.

5. 위치에서 찾아보기를 클릭한 후 다음과 같이 위치를 설정합니다.

   • 만들려는 프로젝트 이름이 prod로 끝난다면 프로덕션 > 공유를 선택합니다.
   • 만들려는 프로젝트 이름이 nonprod로 끝난다면 비프로덕션 > 공유를 선택합니다.

6. 만들기를 클릭합니다.

7. 권장되는 프로젝트마다 2~6단계를 반복하세요.

이 태스크에서는 리소스에 IAM 정책을 추가하여 리소스 계층 구조에 대한 액세스 제어를 설정합니다. IAM 정책은 사용자에게 부여되는 액세스 권한의 유형을 정의하는 구문 모음입니다. 정책은 리소스에 연결되며 리소스에 액세스할 때마다 액세스 제어를 적용하는 데 사용됩니다.

권한을 설정하려면 계층 구조의 다른 수준(조직, 폴더, 프로젝트)의 리소스에 동일한 기본 절차를 수행합니다. 최소 권한 원칙을 사용하여 각 수준의 리소스에 필요한 최소한의 액세스 권한을 부여하는 것이 좋습니다. 다음 절차에서 권장되는 역할들이 최소 권한 원칙을 적용하는 데 도움이 됩니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹에 속한 사용자입니다.

이 태스크에서 수행하는 작업

조직, 폴더, 프로젝트 수준의 IAM 정책을 설정합니다.

이 태스크가 권장되는 이유

리소스 계층 구조 전반에서 IAM 정책을 설정하면 클라우드 리소스에 대한 액세스를 확장 가능한 방식으로 제어할 수 있습니다.

IAM 정책 정보

IAM 정책은 리소스 계층 구조의 세 가지 수준으로 적용됩니다.

1. 조직. 조직 수준에서 설정한 정책은 조직의 모든 폴더와 프로젝트에 적용됩니다.
2. 폴더. 폴더에서 설정한 정책은 폴더 내 프로젝트에 적용됩니다.
3. 프로젝트. 프로젝트 수준에서 설정한 정책은 프로젝트에만 적용됩니다.

다음 표에는 조직 수준에서 할당한 주 구성원과 역할이 나와 있습니다.

주 구성원	부여할 역할
gcp-network-admins@<your-domain>.com	Compute Engine > Compute 네트워크 관리자. 방화벽 규칙과 SSL 인증서를 제외한 네트워킹 리소스를 생성, 수정, 삭제할 수 있는 권한을 부여합니다. Compute Engine > Compute 공유 VPC 관리자. 공유 VPC 호스트 프로젝트를 관리할 권한을 부여합니다. Compute Engine > Compute 보안 관리자. 방화벽 규칙과 SSL 인증서를 생성, 수정, 삭제할 수 있는 권한을 부여합니다. Resource Manager > 폴더 뷰어. 폴더를 볼 수 있는 권한을 부여합니다.
gcp-security-admins@<your-domain>.com	조직 정책 > 조직 정책 관리자. 조직 수준의 IAM 정책을 설정할 수 있는 권한을 부여합니다. 조직 정책 > 조직 정책 뷰어. 조직에 적용되는 IAM 정책을 볼 수 있는 권한을 부여합니다. IAM > 보안 검토자. 조직의 모든 리소스와 리소스에 적용되는 IAM 정책을 볼 수 있는 권한을 부여합니다. 역할 > 조직 역할 뷰어. 조직의 모든 커스텀 IAM 역할 및 이 역할이 적용되는 프로젝트를 볼 수 있는 권한을 부여합니다. 보안 센터 > 보안 센터 관리자. 보안센터에 대한 관리자 액세스 권한을 부여합니다. Resource Manager > 폴더 IAM 관리자. 폴더 수준 IAM 정책을 설정할 수 있는 권한을 부여합니다. Logging > 비공개 로그 뷰어. 비공개 로그 읽기를 포함한 Cloud Logging 기능에 대한 읽기 전용 액세스 권한을 부여합니다. Logging > 로그 구성 작성자. 로그 기반 측정항목과 내보내기 싱크를 만들 수 있는 권한을 부여합니다. Kubernetes Engine > Kubernetes Engine 뷰어 Google Kubernetes Engine 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. Compute Engine > Compute 뷰어. Compute Engine 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. BigQuery > BigQuery 데이터 뷰어 BigQuery 데이터 세트에 대한 권한을 부여합니다.
gcp-devops@<your-domain>.com	Resource Manager > 폴더 뷰어. 폴더를 볼 수 있는 권한을 부여합니다.

IAM 역할 관리

1. 태스크 2에서 만든 gcp-organization-admins Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

2. Cloud Console에서 리소스 관리 페이지로 이동합니다.

   리소스 관리 페이지로 이동

3. 조직 트리 그리드에서 조직을 선택합니다.

4. 오른쪽의 정보 패널 창이 숨겨져 있는 경우 오른쪽 상단에서 정보 패널 표시를 클릭합니다.

5. 조직의 체크박스를 선택합니다.

6. 정보 패널 창의 권한 탭에서 구성원 추가를 클릭합니다.

7. 새 구성원 필드에 이 표의 구성원 이름을 입력합니다. 예를 들어 이전 표에 나열된 대로 gcp-network-admins@<your-domain>.com을 입력합니다.

8. 역할 선택 목록에서 이 표에 나열된 구성원의 첫 번째 역할을 선택합니다. 예를 들어 첫 번째 구성원의 경우 첫 번째 역할로 Compute Engine > Compute 네트워크 관리자를 선택합니다.

9. 다른 역할 추가를 클릭한 후 구성원에 다음 역할을 추가합니다.

10. 구성원에 다음 역할을 추가합니다.

11. 구성원의 역할을 모두 추가한 후 저장을 클릭하세요.

12. 이 표에 나열된 다른 구성원에 2~7단계를 반복합니다.

폴더 수준의 IAM 정책 설정

폴더 수준에서 설정한 정책은 해당 폴더의 프로젝트에도 적용됩니다. 이 절차는 계층 구조에서 다른 수준을 선택한다는 점을 제외하고는 조직용 절차와 유사합니다.

1. 조직과 선택된 기타 리소스의 체크박스를 선택 취소합니다.

2. Production 폴더의 체크박스를 선택합니다.

3. 정보 패널 창의 권한 탭에서 구성원 추가를 클릭합니다.

4. 새 구성원 필드에 gcp-devops@<your-domain>.com을 입력합니다.

5. 조직 구성원에 역할을 추가할 때 사용한 단계를 똑같이 사용해 다음 역할을 gcp-devops@<your-domain>.com 구성원에 추가합니다.

   • Logging > Logging 관리자. Cloud Logging에 대한 모든 권한을 부여합니다.
   • Error Reporting > Error Reporting 관리자. 오류 보고 데이터에 대한 모든 권한을 부여합니다.
   • Service Management > 할당량 관리자. 서비스 할당량을 관리할 수 있는 액세스 권한을 부여합니다.
   • Monitoring > Monitoring 관리자. 모니터링 데이터에 대한 모든 권한을 부여합니다.
   • Compute Engine > Compute 관리자. Compute Engine 리소스에 대한 모든 권한을 부여합니다.
   • Kubernetes Engine > Kubernetes Engine 관리자. Google Kubernetes Engine 컨테이너 클러스터에 대한 모든 권한을 부여합니다.

6. 역할 추가가 완료되었으면 저장을 클릭합니다.

7. Production 폴더의 체크박스를 선택 취소합니다.

8. Non-Production 폴더의 체크박스를 선택합니다.

9. gcp-developers@<your-domain>.com을 새 구성원으로 추가합니다.

10. 다음 IAM 역할을 gcp-developers@<your-domain>.com 구성원에 할당합니다.

    • Compute Engine > Compute 관리자. Compute Engine 리소스에 대한 모든 권한을 부여합니다.
    • Kubernetes Engine > Kubernetes Engine 관리자. Google Kubernetes Engine 컨테이너 클러스터에 대한 모든 권한을 부여합니다.

프로젝트 수준의 IAM 정책 설정

프로젝트 수준에서 설정한 정책은 적용되는 프로젝트에만 적용됩니다. 이를 통해 개별 프로젝트의 권한을 세분화해 설정할 수 있습니다.

1. 폴더와 선택된 기타 리소스에 대한 체크박스를 선택 취소합니다.

2. 다음 프로젝트의 체크박스를 선택합니다.

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. gcp-network-admins@<your-domain>.com을 구성원으로 추가합니다.

4. 다음 역할을 gcp-network-admins@<your-domain>.com 구성원에 할당합니다.

   • 프로젝트 > 소유자. 선택한 프로젝트의 전체 리소스에 대한 모든 권한을 부여합니다.

5. 저장을 클릭합니다.

6. 선택한 프로젝트의 체크박스를 선택 취소합니다.

7. 다음 프로젝트의 체크박스를 선택합니다.

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. gcp-devops@<your-domain>.com을 새 구성원으로 추가합니다.

9. 다음 역할을 gcp-devops@<your-domain>.com 구성원에 할당합니다.

   • 프로젝트 > 소유자. 선택한 프로젝트의 전체 리소스에 대한 모든 권한을 부여합니다.

10. 저장을 클릭합니다.

이 태스크에서는 지원 옵션을 선택할 수 있습니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹의 사람

이 태스크에서 수행하는 작업

회사의 니즈에 따라 지원 요금제를 선택합니다.

이 태스크가 권장되는 이유

프리미엄 지원 요금제는 비즈니스와 관련해 중요도가 높은 지원을 제공하여 Google 전문가의 도움을 통해 신속하게 문제를 해결할 수 있도록 합니다.

지원 옵션 선택

모든 Google Cloud 고객은 자동으로 무료 지원을 받으며, 여기에는 지원 제품 문서, 커뮤니티 지원, 결제 문제 지원이 포함됩니다. 하지만 엔터프라이즈 고객은 Google 지원 엔지니어의 1:1 기술 지원을 제공하는 프리미엄 지원 요금제에 가입하는 것이 좋습니다. 자세한 내용은 지원 요금제를 비교해 살펴보세요.

지원 사용 설정

1. 지원 요금제를 확인하고 사용할 요금제를 선택합니다. 나중 단계에서 지원 요금제를 설정할 수 있습니다. 무료 지원 옵션을 유지하기로 결정해도 다음 태스크를 계속 진행할 수 있습니다.

2. 태스크 2에서 만든 gcp-organization-admins Google 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

3. 지원 요금제를 설정합니다.

   • 프리미엄 지원을 요청하려면 Google 영업 담당자에게 문의하세요. 담당자가 없다면 영업팀에 문의하세요.

   • 역할 기반 지원을 사용 설정하려면 Google Cloud Console의 역할 기반 지원 사용 설정 페이지로 이동한 다음 화면에 표시되는 메시지에 따라 필요한 단계를 완료합니다.

4. 지원 사용자 역할의 안내를 따라 Google Cloud 지원팀과 연락해야 하는 사용자마다 지원 사용자 및 조직 뷰어 역할을 할당합니다.

이 태스크에서는 초기 네트워킹 구성을 설정합니다. 일반적으로 다음과 같이 수행해야 합니다.

• Virtual Private Cloud 아키텍처를 설계하고 만들고 구성합니다.
• 온프레미스 네트워킹 또는 다른 클라우드 제공업체의 네트워킹이 있는 경우 해당 제공업체와 Google Cloud 간에 연결을 구성합니다.
• 외부 이그레스 트래픽 경로를 설정합니다.
• 방화벽 규칙과 같은 네트워크 보안 제어를 구현합니다.
• 클라우드에서 호스팅되는 서비스에 원하는 인그레스 트래픽 옵션을 선택합니다.

이 태스크에서는 항목 1을 자체 Virtual Private Cloud 아키텍처의 기준으로 한 예시를 보여줍니다.

외부 연결, 이그레스 트래픽 구성, 방화벽 규칙 구현, 인그레스 옵션 선택 등 나머지 항목은 비즈니스 요구에 따라 달라집니다. 따라서 이 체크리스트에서는 이 같은 항목을 다루지 않습니다. 대신, 해당 항목에 대한 추가 정보가 담긴 링크를 제공합니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-network-admins@<your-domain>.com 그룹에 속한 사용자입니다.

이 태스크에서 수행하는 작업

초기 네트워킹 구성을 설정합니다.

• 공유 VPC 네트워크 만들기
• 외부 제공업체 및 Google Cloud 간 연결 구성
• 외부 이그레스 트래픽 경로 설정
• 네트워크 보안 제어 구현
• 인그레스 트래픽 옵션 선택

이 태스크가 권장되는 이유

• 공유 VPC를 사용하면 별도의 팀은 서로 다른 여러 제품에서 일반적인 중앙 관리형 VPC 네트워크에 연결할 수 있습니다.

• 하이브리드 연결을 구성하면 서비스 종속 항목에 대한 연결을 유지하면서 애플리케이션을 Google Cloud로 원활하게 마이그레이션할 수 있습니다.

• 처음부터 안전한 인그레스 및 이그레스 경로를 설계하면 팀은 보안을 침해하지 않고 Google Cloud에서 생산성을 발휘할 수 있습니다.

Virtual Private Cloud 아키텍처

Google에서 제공하는 Virtual Private Cloud(VPC)는 Compute Engine 가상 머신 인스턴스, GKE 컨테이너, App Engine 가변형 환경과 같은 Google Cloud 리소스에 네트워킹 기능을 제공합니다. 다음 다이어그램에서는 기본적인 멀티 리전 아키텍처를 보여줍니다.

이 아키텍처에는 공유 VPC 호스트 프로젝트가 2개 있습니다. 호스트 프로젝트 하나는 비프로덕션 환경용이고 다른 하나는 최종 프로덕션 환경용(현재 '프로덕션-초안'으로 라벨 지정됨)입니다. 공유 Virtual Private Cloud를 사용하면 조직에서 여러 프로젝트의 리소스를 공통 네트워크에 연결할 수 있으므로 리소스가 네트워크의 내부 IP 주소를 사용하여 더욱 안전하고 효율적으로 서로 통신할 수 있습니다.

공유 VPC 호스트 프로젝트에는 공유 VPC 네트워크가 하나 이상 포함됩니다. 이 아키텍처에서는 각 공유 VPC 네트워크(프로덕션-초안 및 비프로덕션)에 두 리전(이 경우 us-east1 및 us-west1)의 공개 및 비공개 서브넷이 포함됩니다.

• 공개 서브넷은 외부 연결을 위해 인터넷에 연결되는 인스턴스에서 사용할 수 있습니다.
• 비공개 서브넷은 내부 방향의 인스턴스에만 사용할 수 있으며 공개 IP 주소를 할당하면 안 됩니다.

앞의 다이어그램에 표시된 아키텍처는 다양한 리소스의 예시 이름을 사용합니다. 자체 설정에서는 회사(예시 이름의 example) 및 사용 리전(예시의 us-east1 및 us-west1)과 같은 이름 요소를 변경하면 됩니다.

네트워킹 구성

네트워킹 설정은 워크로드에 따라 다르지만 다음 활동이 일반적입니다.

1. 공유 Virtual Private Cloud(VPC) 네트워크를 만듭니다. 공유 VPC를 사용하면 조직에서 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결할 수 있습니다. 공유 VPC 네트워크를 만들려면 Cloud Console에서 Google Cloud 설정 체크리스트를 사용합니다. Console을 사용하면 특정 태스크를 자동화하여 시간을 절약할 수 있습니다. 필요한 경우 언제든지 이 페이지를 다시 참조할 수 있습니다.

2. 외부 제공업체와 Google Cloud 간 연결을 구성합니다. 온프레미스 네트워킹 또는 다른 클라우드 제공업체의 네트워킹이 있는 경우 IPSec VPN 연결을 통해 피어 네트워크를 Google Cloud VPC 네트워크에 안전하게 연결하는 데 도움이 되는 서비스인 Cloud VPN을 설정할 수 있습니다. Cloud VPN은 최대 3.0Gbps 속도에 적합합니다. 온프레미스 시스템을 Google Cloud에 연결하는 데 더 높은 대역폭이 필요하면 Partner Interconnect 및 Dedicated Interconnect를 참조하세요. VPN 연결을 만들려면 이전 절차에서 만든 프로덕션-초안 및 비프로덕션 공유 VPC 네트워크 모두에서 게이트웨이 및 터널 만들기의 안내를 따르세요.

3. 외부 이그레스 트래픽 경로를 설정합니다. Cloud NAT를 사용하면 외부 IP 주소를 사용하지 않고도 VM에서 인터넷에 연결할 수 있습니다. Cloud NAT는 리전별 리소스입니다. 특정 리전에서 서브넷의 모든 기본 및 보조 IP 범위에서 발생하는 트래픽을 허용하도록 구성하거나 해당 범위 중 일부에만 적용하도록 구성할 수 있습니다. 외부 이그레스 트래픽 경로를 설정하려면 이전 절차에서 프로덕션-초안 및 비프로덕션 네트워크에 만든 공유 VPC 네트워크의 모든 리전에 NAT 만들기의 안내를 따르세요.

4. 네트워크 보안 제어를 구현합니다. 방화벽 규칙을 사용하면 개발자가 지정한 구성을 기준으로 가상 머신(VM) 인스턴스 간의 트래픽을 허용하거나 거부할 수 있습니다. 방화벽 규칙 사용의 안내를 따라 이전 절차에서 만든 프로덕션-초안 및 비프로덕션 공유 VPC 네트워크의 제어를 구성합니다.

5. 인그레스 트래픽 옵션을 선택합니다. Cloud Load Balancing을 사용하면 컴퓨팅 리소스가 여러 리전에 분산되는 방식을 제어할 수 있습니다. 부하 분산을 사용하면 들어오는 외부 트래픽과 VPC 네트워크 내 트래픽의 가용성 요구사항을 충족할 수 있습니다. Google Cloud에서 애플리케이션 아키텍처를 계획할 때 부하 분산기 선택을 검토하여 필요한 부하 분산기 유형을 결정하세요.

이 태스크에서는 Cloud Logging 및 Cloud Monitoring을 사용하여 기본 로깅 및 모니터링 기능을 설정합니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-devops@<your-domain>.com 그룹에 속한 사용자입니다.

이 태스크에서 수행하는 작업

Cloud Logging 및 Cloud Monitoring을 사용하여 기본 로깅 및 모니터링 기능을 설정합니다.

이 태스크가 권장되는 이유

종합적인 로깅 및 모니터링은 클라우드 환경에서 관측 가능성을 유지하는 데 핵심적인 요소입니다. 처음부터 적절한 로깅 보관을 구성하면 감사 추적이 빌드 및 보존되는 동시에 중앙 집중식 모니터링을 설정하면 팀에게 환경을 볼 수 있는 중앙 대시보드가 제공됩니다.

모니터링 설정

Cloud Monitoring은 Google Cloud 서비스, 호스팅된 업타임 프로브, 애플리케이션 계측, 기타 공통 애플리케이션 구성요소의 측정항목, 이벤트, 메타데이터를 수집합니다.

Cloud Logging을 사용하면 Google Cloud와 Amazon Web Services(AWS)의 로그 데이터 및 이벤트를 저장, 검색, 분석, 모니터링하고 알림을 받을 수 있습니다. Cloud Logging으로 소스에 상관없이 커스텀 로그 데이터를 수집하고 외부 데이터 싱크로 로그를 내보낼 수도 있습니다.

모니터링 설정

Cloud Monitoring은 Google Cloud 서비스, 호스팅된 업타임 프로브, 애플리케이션 계측, 기타 공통 애플리케이션 구성요소의 측정항목, 이벤트, 메타데이터를 수집합니다.

1. 태스크 2에서 만든 gcp-devops 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

2. 호스트 프로젝트를 사용하여 모니터링을 위한 작업공간을 만듭니다. 작업공간의 첫 번째 모니터링 대상 Google Cloud 프로젝트가 호스트 프로젝트가 됩니다. 호스트 프로젝트 역할을 할 프로젝트를 올바르게 선택해야 합니다. 프로젝트를 선택하라는 메시지가 나타나면 태스크 5에서 만든 비프로덕션 모니터링 프로젝트(example-monitoring-nonprod)를 선택합니다.

3. 이 작업공간에서 모니터링할 다른 프로젝트를 추가합니다. 예를 들어 다른 비프로덕션 프로젝트를 모두 추가합니다.

4. 프로덕션 프로젝트에 이 절차를 반복합니다. example-monitoring-prod를 작업공간 프로젝트로 사용하고 모니터링할 프로덕션 프로젝트를 추가합니다.

로깅 설정

Cloud Logging을 사용하면 Google Cloud와 Amazon Web Services(AWS)의 로그 데이터 및 이벤트를 저장, 검색, 분석, 모니터링하고 알림을 받을 수 있습니다. Cloud Logging으로 소스에 상관없이 커스텀 로그 데이터를 수집하고 외부 데이터 싱크로 로그를 내보낼 수도 있습니다.

1. 태스크 2에서 만든 gcp-devops 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

2. 다음 값을 사용하여 BigQuery의 로깅 내보내기를 사용 설정합니다.

   • example-logging-nonprod 프로젝트를 선택합니다.
   • BigQuery 데이터 세트를 만듭니다. 데이터 세트 ID에 example_logging_export_nonprod와 같은 이름을 사용합니다.
   • 데이터 세트 이름을 지정한 후 데이터 세트 만들기를 클릭합니다.

3. example-logging-prod 프로젝트에 이전 단계를 반복하되, 데이터 세트 ID에 example_logging_export_prod를 사용합니다.

4. 로그 보관 기간을 검토해 규정 준수 요구사항을 충족하는지 확인합니다. 요구사항을 충족하지 않을 경우 Cloud Storage로 로그 내보내기를 설정하면 장기 보관에 도움이 될 수 있습니다.

이 태스크에서는 조직을 보호하는 데 도움이 되는 Google Cloud 제품을 구성합니다. Google Cloud는 다양한 보안 제품군을 제공합니다.

이 태스크를 수행할 수 있는 사용자

태스크 2에서 만든 gcp-organization-admins@<your-domain>.com 그룹에 속한 사용자입니다.

이 태스크에서 수행하는 작업

• Security Command Center 대시보드 사용 설정
• 조직 정책을 설정합니다.

이 태스크가 권장되는 이유

다음과 같은 2가지 제품을 설정하는 것이 좋습니다.

• Security Command Center. 이 포괄적인 보안 관리 및 데이터 위험 플랫폼을 통해 클라우드 자산을 모니터링하고, 스토리지 시스템에서 민감한 정보를 검색하고, 일반적인 웹 취약점을 감지하고, 중요 리소스에 대한 액세스 권한을 검토할 수 있습니다.

• 조직 정책 서비스. 이 서비스를 통해 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다.

제품 설정

1. 태스크 2에서 만든 gcp-organization-admins 그룹의 사용자로 Cloud Console에 로그인했는지 확인합니다.

2. Security Command Center 대시보드를 사용 설정합니다.

3. 부울 제약조건에 대한 정책 맞춤설정에 나온 단계를 따라 다음과 같은 세부정보를 사용하여 조직 정책을 설정하세요.

   1. 다음 변경사항으로 기본 네트워크 생성 건너뛰기 제약조건을 설정하세요.
      • 프로젝트, 폴더, 조직 중 선택하라는 메시지가 표시되면 조직을 선택합니다.
      • 조직 정책 페이지의 목록에서 제약조건을 선택하라는 메시지가 표시되면 기본 네트워크 생성 건너뛰기를 선택합니다.
      • 시행 옵션을 선택하라는 메시지가 표시되면 설정을 선택합니다.
   2. 도메인으로 제한된 공유 제약조건을 설정합니다.
   3. VM 인스턴스에 대한 외부 IP 주소 액세스를 사용 중지합니다.