조직 리소스 만들기 및 관리

조직 리소스는 Google Cloud 리소스 계층 구조의 루트 노드이며 프로젝트의 계층 최고 노드입니다. 이 페이지에서는 조직 리소스를 획득하고 관리하는 방법을 설명합니다.

시작하기 전에

조직 리소스의 개요를 읽습니다.

조직 리소스 가져오기

조직 리소스는 Google Workspace 및 Cloud Identity 고객에게 제공됩니다.

Google Workspace 또는 Cloud ID 계정을 만들어 도메인에 연결하면 조직 리소스가 자동으로 생성됩니다. 계정 상태에 따라 리소스가 프로비저닝되는 시간이 다릅니다.

  • Google Cloud를 처음 사용하고 프로젝트를 아직 만들지 않은 경우 Google Cloud 콘솔에 로그인하고 이용약관에 동의하면 조직 리소스가 생성됩니다.
  • 기존 Google Cloud 사용자는 새 프로젝트 또는 결제 계정을 만들 때 조직 리소스가 생성됩니다. 이전에 생성된 모든 프로젝트는 '조직 없음' 아래 나열되며 이는 정상입니다. 조직 리소스가 표시되고, 새로 만든 프로젝트가 자동으로 조직 리소스에 연결됩니다.

    '조직 없음' 아래 생성된 프로젝트를 새 조직 리소스로 이동해야 합니다. 프로젝트를 이동하는 방법에 대한 안내는 프로젝트를 조직 리소스로 마이그레이션을 참조하세요.

생성된 조직 리소스는 만든 프로젝트 또는 결제 계정이 하위 리소스로 설정된 Google Workspace 또는 Cloud ID 계정에 연결됩니다. Google Workspace 또는 Cloud ID 도메인 아래 생성된 모든 프로젝트 및 결제 계정은 이 조직 리소스의 하위 요소입니다.

각 Google Workspace 또는 Cloud ID 계정은 정확히 하나의 조직 리소스에 연결됩니다. 조직 리소스는 조직 리소스 생성 시 설정되는 도메인 하나에만 연결됩니다.

조직 리소스가 생성되면 Google Workspace 또는 Cloud ID 최고 관리자에게 이 리소스를 사용할 수 있다는 알림이 제공됩니다. 이러한 최고 관리자 계정은 조직 리소스와 그 아래의 모든 리소스를 제어할 수 있으므로 신중하게 사용해야 합니다. 이러한 이유로 조직 리소스의 일상적인 관리에 Google Workspace 또는 Cloud ID 최고 관리자 계정을 사용하지 않는 것이 좋습니다. Google Cloud에서 Google Workspace 또는 Cloud ID 최고 관리자 계정 사용에 대한 자세한 내용은 최고 관리자 권장사항을 참조하세요.

조직 리소스를 적극적으로 활용하려면 Google Workspace 또는 Cloud ID 최고 관리자가 조직 관리자(roles/resourcemanager.organizationAdmin) Identity and Access Management(IAM) 역할을 사용자나 그룹에 할당해야 합니다. 조직 리소스 설정 단계에 대해서는 조직 리소스 설정을 참조하세요.

  • 조직 리소스가 생성되면 도메인의 모든 사용자에게 프로젝트 생성자(roles/resourcemanager.projectCreator) 및 결제 계정 생성자(roles/billing.creator) IAM 역할이 조직 리소스 수준에서 자동으로 부여됩니다. 그러면 도메인의 사용자가 중단 없이 계속해서 프로젝트를 생성할 수 있습니다.
  • 조직 관리자가 적극적으로 조직 리소스를 사용하기 시작할 시점을 결정합니다. 그런 다음 기본 권한을 변경하고 필요하면 보다 제한적인 정책을 적용할 수 있습니다.
  • 조직 리소스를 사용할 수 있는 경우, 조직을 확인할 수 있는 IAM 권한이 없어도 프로젝트와 결제 계정을 만들 수 있습니다. 표시되지 않더라도 이러한 항목이 조직 리소스 아래에 자동으로 생성됩니다.

조직 리소스 ID 가져오기

조직 리소스 ID는 조직 리소스의 고유 식별자이며 조직 리소스를 만들 때 자동으로 생성됩니다. 조직 리소스 ID는 십진수 형식이며 앞에 0이 올 수 없습니다.

Google Cloud 콘솔, gcloud CLI 또는 Cloud Resource Manager API를 사용하여 조직 리소스 ID를 가져올 수 있습니다.

콘솔

Google Cloud 콘솔을 사용하여 조직 리소스 ID를 가져오려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔로 이동합니다.

    Google Cloud 콘솔로 이동합니다.

  2. 페이지 상단의 프로젝트 선택기에서 조직 리소스를 선택합니다.
  3. 오른쪽에서 더보기를 클릭한 후 설정을 클릭합니다.

설정 페이지에 조직 리소스 ID가 표시됩니다.

gcloud

조직 리소스 ID를 찾으려면 다음 명령어를 실행하세요.

gcloud organizations list

이 명령어는 사용자가 속한 모든 조직 리소스와 해당 조직 리소스 ID를 나열합니다.

API

Cloud Resource Manager API를 사용하여 조직 리소스 ID를 찾으려면 도메인에 대한 쿼리를 포함해 organizations.search() 메서드를 사용합니다. 예를 들면 다음과 같습니다.

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

응답에는 altostrat.com에 속한 조직 리소스의 메타데이터(조직 리소스 ID 포함)가 포함됩니다.

조직 리소스 설정

Google Workspace 또는 Cloud ID 고객일 경우 자동으로 조직 리소스가 제공됩니다.

Google Workspace 또는 Cloud ID 최고 관리자는 조직 리소스 생성 시 해당 조직 리소스에 액세스할 수 있는 첫 번째 사용자입니다. 다른 모든 사용자나 그룹은 이전처럼 Google Cloud를 사용할 수 있습니다. 조직 리소스를 볼 수는 있지만 올바른 권한을 설정한 후에만 리소스를 수정할 수 있습니다.

Google Workspace 또는 Cloud ID 최고 관리자와 Google Cloud 조직 관리자는 설정 프로세스 및 조직 리소스의 수명 주기를 제어하는 데 있어 핵심 역할입니다. 조직 리소스의 구조와 요구에 따라 다르지만 두 역할은 일반적으로 서로 다른 사용자나 그룹에 할당됩니다.

Google Cloud 조직 리소스 설정 컨텍스트에서 Google Workspace 또는 Cloud ID 최고 관리자의 책임은 다음과 같습니다.

  • 일부 사용자에게 조직 관리자 역할 할당
  • 복구 문제가 발생할 경우 담당자 역할 수행
  • 조직 리소스 삭제의 설명대로 Google Workspace 또는 Cloud ID 계정 및 조직 리소스의 수명 주기 제어

할당되면 조직 관리자는 다른 사용자에게 Identity and Access Management 역할을 할당할 수 있습니다. 조직 관리자 역할의 책임은 다음과 같습니다.

  • IAM 정책을 정의하고 다른 사용자에게 IAM 역할을 부여합니다.
  • 리소스 계층 구조의 구조 확인

최소 권한의 원칙에 따라 폴더 또는 프로젝트 만들기와 같은 다른 작업을 수행할 수 있는 권한은 이 역할에 포함되지 않습니다. 이 권한을 얻으려면 조직 관리자가 계정에 추가 역할을 할당해야 합니다.

두 개의 고유한 역할이 있으면 Google Workspace 또는 Cloud ID 최고 관리자와 Google Cloud 조직 관리자 사이의 임무를 구분할 수 있습니다. 일반적으로 고객의 조직 내에서는 이러한 2개의 Google 제품을 서로 다른 부서에서 관리하므로 필수적으로 이 2가지 역할을 분류해야 하는 경우가 종종 있습니다.

조직 리소스를 적극적으로 사용하려면 아래 단계에 따라 조직 관리자를 추가하세요.

조직 관리자 추가

콘솔

조직 관리자를 추가하려면 다음 절차를 따르세요.

  1. Google Cloud 콘솔에 Google Workspace 또는 Cloud ID 최고 관리자로 로그인하고 IAM 및 관리자 페이지로 이동합니다.

    IAM 및 관리자 페이지 열기

  2. 수정할 조직 리소스를 선택합니다.

    1. 페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다.

    2. 다음 조직에서 선택 대화상자에서 조직 드롭다운 목록을 클릭하고 조직 관리자를 추가할 조직 리소스를 선택합니다.

    3. 나타나는 목록에서 조직 리소스를 클릭하여 IAM 권한 페이지를 엽니다.

  3. 추가를 클릭한 다음 조직 관리자로 설정할 1명 이상의 사용자 이메일 주소를 입력합니다.

  4. 역할 선택 드롭다운 목록에서 Resource Manager> 조직 관리자를 선택한 다음 저장을 클릭합니다.

    조직 관리자는 다음 작업을 수행할 수 있습니다.

    • 조직 리소스를 완전히 제어합니다. Google Workspace 또는 Cloud ID 최고 관리자와 Google Cloud 관리자 간의 책임을 분리합니다.

    • 관련 IAM 역할을 할당하여 중요한 기능에 대한 책임을 위임합니다.

조직 리소스 획득에서 설명한 대로 생성 시 도메인의 모든 사용자에게 프로젝트 생성자와 결제 계정 생성자 역할이 조직 리소스 레벨에서 기본적으로 부여됩니다. 그러면 조직 리소스를 생성할 때 Google Cloud 사용자에게 중단이 발생하지 않습니다. 조직 관리자는 제어할 수 있는 권한을 갖기 때문에 조직 레벨 권한을 삭제하고 폴더 또는 프로젝트 레벨과 같이 보다 세부적인 수준에서 액세스를 제한할 수 있습니다. IAM 정책은 계층 구조에 상속되므로 프로젝트 생성자 역할이 조직 리소스 레벨에서 전체 도메인(domain:mycompany.com)에 할당되면 도메인의 모든 사용자가 계층 구조 어디서나 프로젝트를 생성할 수 있습니다.

조직 리소스에 프로젝트 만들기

콘솔


도메인에 조직 리소스를 사용하도록 설정한 후 Google Cloud 콘솔을 사용하여 조직 리소스에 프로젝트를 만들 수 있습니다.

조직 리소스에 새 프로젝트를 생성하려면 다음 단계를 따르세요.

새 프로젝트를 만들려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 리소스 관리 페이지로 이동합니다.

    리소스 관리로 이동

    나머지 단계는 Google Cloud 콘솔에 표시됩니다.

  2. 페이지 상단의 조직 선택 드롭다운 목록에서 프로젝트를 만들려는 조직 리소스를 선택합니다. 무료 체험판 사용자인 경우에는 이 목록이 나타나지 않으므로, 이 단계를 건너뜁니다.
  3. 프로젝트 만들기를 클릭합니다.
  4. 나타나는 새 프로젝트 창에 프로젝트 이름을 입력하고 해당되는 결제 계정을 선택합니다. 프로젝트 이름은 문자, 숫자, 작은 따옴표, 하이픈, 공백 또는 느낌표만 포함할 수 있으며, 4~30자(영문 기준)여야 합니다.
  5. 위치 상자에 상위 조직 또는 폴더 리소스를 입력합니다. 이 리소스는 새 프로젝트의 계층적 상위 항목이 됩니다. 조직 없음 옵션이 있는 경우 이 옵션을 선택하여 자체 리소스 계층 구조의 최상위로 새 프로젝트를 만들 수 있습니다.
  6. 새 프로젝트 세부정보 입력을 마쳤으면 만들기를 클릭합니다.

API


project생성하고 parent 필드를 조직 리소스의 organizationId로 설정하여 조직 리소스에 새 프로젝트를 만들 수 있습니다.

다음 코드 스니펫은 조직 리소스에 프로젝트를 만드는 방법을 보여줍니다.

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

조직 리소스의 프로젝트 보기

사용자는 IAM 역할을 통해 액세스할 수 있는 프로젝트만 보고 나열할 수 있습니다. 조직 관리자는 조직 리소스의 모든 프로젝트를 보고 나열할 수 있습니다.

콘솔


Google Cloud 콘솔을 사용하여 조직 리소스의 모든 프로젝트를 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔로 이동합니다.

    Google Cloud 콘솔로 이동

  2. 페이지 상단의 조직 드롭다운을 클릭합니다.

  3. 조직 리소스를 선택합니다.

  4. 페이지 상단의 프로젝트 드롭다운을 클릭한 후 프로젝트 더보기를 클릭합니다. 조직 리소스의 모든 프로젝트가 페이지에 나열됩니다.

조직 드롭다운의 조직 없음 옵션을 선택하면 다음 프로젝트가 나열됩니다.

  • 아직 조직 리소스에 속하지 않은 프로젝트
  • 사용자가 프로젝트에는 액세스할 수 있지만, 프로젝트가 속한 조직 리소스에는 액세스할 수 없는 경우의 프로젝트

gcloud


조직 리소스의 모든 프로젝트를 보려면 다음 명령어를 실행하세요.

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


상위 리소스에 속한 모든 프로젝트를 나열하려면 다음 코드 스니펫에 표시된 것처럼 projects.list() 메서드를 사용합니다.

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

조직 리소스 삭제

조직 리소스는 Google Workspace 또는 Cloud ID 계정에 연결됩니다.

조직 리소스를 사용하지 않으려면 다음 단계에 따라 조직 리소스의 IAM 정책을 원래 상태로 복원하는 것이 좋습니다.

  1. 도메인을 Project CreatorBilling Account Creator 역할에 추가합니다.
  2. 조직 리소스의 IAM 정책에서 다른 모든 항목을 삭제합니다.

그러면 Google Workspace 또는 Cloud ID 최고 관리자가 나중에 중앙 관리를 복구할 수 있으며 사용자가 계속해서 프로젝트 및 결제 계정을 생성할 수 있습니다.

Google Workspace 계정을 삭제하면 조직 리소스 및 조직 리소스와 연결된 모든 리소스가 삭제됩니다. 따라서 조직 리소스를 삭제하려면 Google Workspace 계정을 삭제하면 됩니다. Cloud ID 사용자의 경우, 다른 모든 Google 서비스를 취소한 후 Google 계정을 삭제합니다. 이 작업은 완전히 되돌릴 수 없는 매우 위험한 작업이므로 활성 리소스가 없는 경우에만 이 작업을 수행하는 것이 좋습니다.

직접 사용해 보기

Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

무료로 시작하기