조직 만들기 및 관리

조직 리소스는 Google Cloud Platform 리소스 계층 구조의 루트 노드이며 프로젝트의 계층 최고 노드입니다. 이 페이지에서는 조직 리소스를 획득하고 관리하는 방법을 설명합니다.

시작하기 전에

조직 리소스에 관한 개요를 읽습니다.

조직 리소스 가져오기

조직 리소스는 G Suite 및 Cloud ID 고객이 사용할 수 있습니다.

  • G Suite
    • 조직 리소스는 G Suite 도메인과 연결된 사용자가 프로젝트 또는 결제 계정을 처음 만들 때 자동으로 생성됩니다. 조직은 프로젝트 또는 결제 계정이 하위 리소스로 설정된 G Suite 계정에 연결됩니다. G Suite 도메인 하에 생성된 모든 프로젝트 및 결제 계정은 이 조직의 하위 항목입니다.
    • 기존 프로젝트를 이전하는 방법에 대한 자세한 내용은 기존 프로젝트 이전을 참조하세요.
  • Cloud ID:
    • 무료 Cloud ID 계정을 사용하여 조직 리소스를 만들 수 있습니다. Cloud ID 정보에 대해 알아보세요.

각 G Suite 또는 Cloud ID 계정은 정확히 조직 하나에 연결됩니다. 조직은 조직 리소스 생성 시 설정되는 정확히 도메인 하나에 연결됩니다.

조직 리소스가 생성되면 G Suite 또는 Cloud ID 최고 관리자에게 이 리소스를 사용할 수 있다는 알림이 제공됩니다. 이러한 최고 관리자 계정은 조직과 조직의 모든 리소스를 제어할 수 있으므로, 관리자 계정을 신중하게 사용해야 합니다. 이러한 이유로 조직의 일상적인 관리에 G Suite 또는 Cloud ID 최고 관리자 계정을 사용하지 않는 것이 좋습니다. GCP에서 G Suite 또는 Cloud ID 최고 관리자 계정 사용에 대한 자세한 내용은 최고 관리자 권장사항을 참조하세요.

조직 리소스를 적극적으로 활용하려면 G Suite 또는 Cloud ID 최고 관리자가 조직 관리자 Cloud IAM 역할을 사용자나 그룹에 할당해야 합니다. 조직 설정 단계에 대해서는 조직 설정을 참조하세요.

  • 조직이 생성되면 도메인의 모든 사용자에게 프로젝트 생성자 및 결제 계정 생성자 IAM 역할이 조직 레벨에서 자동으로 부여됩니다. 그러면 도메인의 사용자가 중단 없이 계속해서 프로젝트를 생성할 수 있습니다.
  • 조직 관리자가 적극적으로 조직을 사용하기 시작할 시점을 결정합니다. 그런 다음 기본 권한을 변경하고 필요하면 보다 제한적인 정책을 적용할 수 있습니다.
  • 조직을 사용할 수 있는 경우, 조직을 확인할 수 있는 Cloud IAM 권한이 없어도 프로젝트와 결제 계정을 만들 수 있습니다. 표시되지 않더라도 이러한 항목이 조직 리소스에서 자동으로 생성됩니다.

조직 ID 가져오기

조직 ID는 조직의 고유 식별자이며 조직 리소스를 만들 때 자동으로 생성됩니다. 조직 ID는 십진수 형식이며 앞에 0이 올 수 없습니다.

GCP Console, gcloud 도구 또는 Resource Manager API를 사용하여 조직 ID를 가져올 수 있습니다.

콘솔


GCP Console을 사용하여 조직 ID를 가져오려면 다음 단계를 따르세요.

  1. GCP Console로 이동합니다.

    GCP Console로 이동

  2. 페이지 맨 위에 있는 프로젝트 선택 드롭다운 목록을 클릭합니다.
  3. 다음 조직에서 선택 창이 나타나면 조직 드롭다운 목록을 클릭한 후 원하는 조직을 선택합니다.
  4. 오른쪽에서 더보기를 클릭한 후 설정을 클릭합니다.

설정 페이지에 조직의 ID가 표시됩니다.

gcloud


조직 ID를 찾으려면 다음 명령어를 실행하세요.

gcloud organizations list

그러면 속해 있는 모든 조직과 해당하는 조직 ID가 나열됩니다.

API


Resource Manager API를 사용하여 조직 ID를 찾으려면 domain:[company.com] 필터를 사용하여 organizations.search() 메소드를 호출합니다. 그러면 조직 ID가 있는 조직 리소스 메타데이터가 반환됩니다.

조직 설정

G Suite 또는 Cloud ID 고객일 경우 자동으로 조직 리소스가 제공됩니다.

G Suite 또는 Cloud ID 최고 관리자는 조직 생성 시 해당 조직에 액세스할 수 있는 첫 번째 사용자입니다. 다른 모든 사용자나 그룹은 이전처럼 GCP를 사용할 수 있으며, 조직 리소스를 볼 수는 있지만 올바른 권한을 설정한 후에만 리소스를 수정할 수 있습니다.

G Suite 또는 Cloud ID 최고 관리자와 GCP 조직 관리자는 설정 프로세스에서 조직 리소스의 수명 주기 제어를 위한 핵심 역할입니다. 조직의 구조와 요구에 따라 다르지만 두 역할은 일반적으로 서로 다른 사용자나 그룹에 할당됩니다.

GCP 조직 설정 컨텍스트에서 G Suite 또는 Cloud ID 최고 관리자의 책임은 다음과 같습니다.

  • 일부 사용자에게 조직 관리자 역할 할당
  • 복구 문제가 발생할 경우의 담당자 역할 수행
  • 조직 리소스 삭제의 설명 대로 G Suite 또는 Cloud ID 계정 및 조직 리소스의 수명 주기 제어

할당되면 조직 관리자는 다른 사용자에게 IAM 역할을 할당할 수 있습니다. 조직 관리자 역할의 책임은 다음과 같습니다.

  • IAM 정책 정의
  • 리소스 계층 구조의 구조 결정
  • IAM 역할을 통해 네트워킹, 결제, 리소스 계층 구조와 같은 중요한 구성요소에 대한 책임 위임

최소 권한 원칙에 따라 폴더 만들기와 같은 다른 작업을 수행할 수 있는 권한은 이 역할에 포함되지 않습니다. 이 권한을 얻으려면 조직 관리자가 계정에 추가 역할을 할당해야 합니다.

2가지 역할이 별도로 존재하기 때문에 G Suite 또는 Cloud ID 최고 관리자와 GCP 조직 관리자 사이의 업무를 구별할 수 있습니다. 일반적으로 고객의 조직 내에서는 이러한 2개의 Google 제품을 서로 다른 부서에서 관리하므로 필수적으로 이 2가지 역할을 분류해야 하는 경우가 종종 있습니다.

조직 리소스를 적극적으로 사용하려면 아래 단계에 따라 조직 관리자를 추가하세요.

조직 관리자 추가

콘솔

조직 관리자를 추가하려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console에 G Suite 또는 Cloud ID 최고 관리자로 로그인하고 IAM 및 관리자 페이지로 이동합니다.

    IAM 및 관리자 페이지 열기

  2. 수정할 조직을 선택합니다.

    1. 페이지 맨 위에 있는 프로젝트 선택 드롭다운 목록을 클릭합니다.

    2. 선택 대화상자가 나타나면 조직 드롭다운 목록을 클릭하고 조직 관리자를 추가할 조직을 선택합니다.

    3. 나타나는 목록에서 조직을 클릭하여 IAM 권한 페이지를 엽니다.

  3. 추가를 클릭한 다음 조직 관리자로 설정할 1명 이상의 사용자 이메일 주소를 입력합니다.

  4. 역할 선택 드롭다운 목록에서 리소스 관리자 > 조직 관리자를 선택한 후 추가를 클릭합니다.

  5. 조직 관리자는 조직을 완전히 제어할 수 있으며, G Suite 또는 Cloud ID 최고 관리자와 GCP 관리자 간에 책임을 완전히 분리할 수 있습니다.

  6. 조직 관리자는 관련된 Cloud IAM 역할을 할당하여 중요한 기능에 대한 책임을 위임할 수 있습니다.

조직 리소스 획득에서 설명한 대로 생성 시 도메인의 모든 사용자에게 프로젝트 생성자와 결제 계정 생성자 역할이 조직 레벨에서 기본적으로 부여됩니다. 그러면 조직 리소스를 생성할 때 GCP 사용자에게 중단이 발생하지 않습니다. 조직 관리자는 제어할 수 있는 권한을 갖기 때문에 조직 레벨 권한을 삭제하고 폴더 또는 프로젝트 레벨과 같이 보다 세부적인 수준에서 액세스를 제한할 수 있습니다. IAM 정책은 계층 구조에 상속되므로 프로젝트 생성자 역할이 조직 레벨에서 전체 도메인(domain:mycompany.com)에 할당되면 도메인의 모든 사용자가 계층 구조 어디서나 프로젝트를 생성할 수 있습니다.

조직에서 프로젝트 생성

콘솔


도메인에 조직 리소스를 사용하도록 설정하면 GCP Console을 사용하여 조직에 프로젝트를 생성할 수 있습니다.

조직에 새 프로젝트를 생성하려면 다음 단계를 따르세요.

  1. GCP Console에서 리소스 관리 페이지로 이동합니다.
    리소스 관리 페이지로 이동
  2. 페이지 맨 위에 있는 조직 선택 드롭다운 목록에서 프로젝트를 만들려는 조직을 선택합니다. 무료 평가판 사용자인 경우에는 이 목록이 나타나지 않으므로, 이 단계를 건너뜁니다.
  3. 프로젝트 만들기를 클릭합니다.
  4. 나타나는 새 프로젝트 창에 프로젝트 이름을 입력하고 해당되는 결제 계정을 선택합니다.
  5. 폴더에 프로젝트를 추가하려면 위치 상자에 폴더 이름을 입력합니다.
  6. 새 프로젝트의 세부정보 입력을 마쳤으면 만들기를 클릭합니다.

API


project생성하고 parent 필드를 조직의 organizationId로 설정하여 조직에 새 프로젝트를 만들 수 있습니다.

다음 코드 스니펫은 조직에 프로젝트를 생성하는 방법을 보여줍니다.

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

조직의 프로젝트 보기

사용자는 IAM 역할을 통해 액세스할 수 있는 프로젝트만 보고 나열할 수 있습니다. 조직 관리자는 조직의 모든 프로젝트를 보고 나열할 수 있습니다.

콘솔


GCP Console을 사용하여 조직의 모든 프로젝트를 보려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console로 이동합니다.

    Google Cloud Platform Console로 이동

  2. 페이지 상단의 조직 드롭다운을 클릭합니다.

  3. 조직을 선택합니다.

  4. 페이지 상단의 프로젝트 드롭다운을 클릭한 후 프로젝트 더보기를 클릭합니다. 조직의 모든 프로젝트가 페이지에 나열됩니다.

조직 드롭다운의 조직 없음 옵션을 선택하면 다음 프로젝트가 나열됩니다.

  • 아직 조직에 속하지 않은 프로젝트
  • 사용자가 프로젝트에는 액세스할 수 있지만, 프로젝트가 속한 조직에는 액세스할 수 없는 경우의 프로젝트

gcloud


조직의 모든 프로젝트를 보려면 다음 명령어를 실행하세요.

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


조직의 모든 프로젝트를 나열하려면 다음 코드 스니펫에 표시된 것처럼 projects.list() 메소드를 사용합니다.

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

조직 리소스 삭제

조직 리소스는 G Suite 또는 Cloud ID 계정에 연결됩니다.

조직 리소스를 사용하지 않으려면 다음 단계에 따라 조직의 IAM 정책을 원래 상태로 복원하는 것이 좋습니다.

  1. Project CreatorBilling Account Creator 역할에 도메인을 추가합니다.
  2. 조직의 IAM 정책에서 다른 모든 항목을 삭제합니다.

그러면 G Suite 또는 Cloud ID 최고 관리자가 나중에 중앙 관리를 복구할 수 있으며 사용자가 계속해서 프로젝트 및 결제 계정을 생성할 수 있습니다.

조직과 조직에 연결된 모든 리소스를 삭제하려면 G Suite 계정을 삭제합니다. Cloud ID 사용자의 경우, 다른 모든 Google 서비스를 취소한 후 Google 계정을 삭제합니다.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서