여러 조직 관리

조직 노드는 Google Cloud Platform 리소스 계층 구조에서 하위에 있는 프로젝트 및 폴더의 소유권을 설정합니다. G Suite 또는 Cloud ID 계정은 정확히 하나의 조직 노드에 연결됩니다. 또한 각 G Suite 또는 Cloud ID 계정은 단일 도메인(예: example.com)에 연결됩니다.

대부분의 사용 사례를 보면 조직 노드 하위에 있는 폴더를 사용하는 것이 가장 좋습니다. 귀사의 하위 조직 또는 부서를 중앙 관리를 받지 않는 독립된 개체로 유지하려는 경우 여러 G Suite 또는 Cloud ID 계정을 설정할 수 있습니다. 각 계정에는 하나의 도메인과 연결된 하나의 조직 노드가 제공됩니다.

여러 조직 노드 사용의 효과

한 G Suite 또는 Cloud ID 계정의 사용자가 다른 G Suite 또는 Cloud ID 계정의 사용자가 만든 리소스에 액세스하지 못하게 하려면 여러 조직 노드를 사용하세요. 그러나 리소스를 여러 조직 노드로 분리하면 다음과 같은 몇 가지 결과가 발생합니다.

  • 기본적으로 단일 사용자가 모든 리소스에 대한 중앙 집중식 가시성 및 제어권을 확보할 수 없습니다.

  • 하위 조직에 공통적인 정책을 각 조직 노드에 복제해야 합니다.

  • 한 조직 노드에서 다른 조직 노드로 프로젝트 및 폴더를 이동하는 것은 셀프 서비스 작업이 아니므로 지원 요청이 필요합니다.

  • 각 조직 노드에 G Suite 계정이 필요합니다. 따라서 여러 조직 노드를 운영하려면 여러 G Suite 계정이 필요하며 여러 계정의 ID를 관리할 수 있어야 합니다.

단일 조직 노드 사용

별도의 하위 조직을 유지하려는 대부분의 조직은 단일 조직 노드 및 폴더를 사용하여 하위 조직을 별도로 유지관리할 수 있습니다. 단일 G Suite 계정이 있는 경우 이 계정은 조직 노드에 매핑되고 하위 조직은 폴더에 매핑됩니다.

조직 관리자 선택

조직 노드의 Cloud IAM 조직 관리자 역할을 수행할 한 명 이상의 사용자를 선택합니다.

콘솔

조직 관리자를 추가하려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console에 G Suite 또는 Cloud ID 최고 관리자로 로그인하고 IAM 및 관리자 페이지로 이동합니다.

    IAM 및 관리자 페이지 열기

  2. 수정할 조직을 선택합니다.

    1. 페이지 맨 위에 있는 프로젝트 선택 드롭다운 목록을 클릭합니다.

    2. 선택 대화상자가 나타나면 조직 드롭다운 목록을 클릭하고 조직 관리자를 추가할 조직을 선택합니다.

    3. 나타나는 목록에서 조직을 클릭하여 IAM 권한 페이지를 엽니다.

  3. 추가를 클릭한 다음 조직 관리자로 설정할 1명 이상의 사용자 이메일 주소를 입력합니다.

  4. 역할 선택 드롭다운 목록에서 리소스 관리자 > 조직 관리자를 선택한 후 추가를 클릭합니다.

  5. 조직 관리자는 조직을 완전히 제어할 수 있으며, G Suite 또는 Cloud ID 최고 관리자와 GCP 관리자 간에 책임을 완전히 분리할 수 있습니다.

  6. 조직 관리자는 관련된 Cloud IAM 역할을 할당하여 중요한 기능에 대한 책임을 위임할 수 있습니다.

하위 조직에 폴더 만들기

각 하위 조직의 조직 노드 아래에 폴더를 만듭니다.

폴더를 만들려면 상위 수준의 폴더 관리자 또는 폴더 생성자 역할이 있어야 합니다. 예를 들어 조직 수준에서 폴더를 만들려면 조직 수준에 이러한 역할 중 하나가 있어야 합니다.

폴더를 만드는 과정에서 폴더에 이름을 지정해야 합니다. 폴더 이름은 다음 요구 사항을 충족해야 합니다.

  • 이름은 문자, 숫자, 공백, 하이픈, 밑줄을 포함할 수 있습니다.
  • 폴더의 표시 이름은 문자 또는 숫자로 시작하고 끝나야 합니다.
  • 이름은 30자 이하여야 합니다.
  • 이름은 상위 항목을 공유하는 다른 모든 폴더와 구분되어야 합니다.

폴더를 만드는 방법은 다음과 같습니다.

콘솔

'프로젝트 및 폴더 관리' 섹션을 사용하여 UI에서 폴더를 만들 수 있습니다.

  1. GCP Console에서 리소스 관리 페이지로 이동합니다.

    리소스 관리 페이지 열기

  2. 폴더 만들기를 클릭합니다.

  3. 폴더 이름 상자에 새 폴더의 이름을 입력합니다.

  4. 대상 아래에서 찾아보기를 클릭한 다음 새 폴더를 만들 조직 노드 또는 폴더를 선택합니다.

    1. 만들기를 클릭합니다.

gcloud

폴더는 gcloud 명령줄 도구를 사용하여 프로그래매틱 방식으로 만들 수 있습니다.

gcloud 명령줄 도구를 사용하여 조직 리소스 아래에 폴더를 만들려면 다음 명령어를 실행합니다.

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

상위 항목이 다른 폴더인 폴더를 만들려면 다음 명령어를 실행합니다

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

각 항목의 의미는 다음과 같습니다.

  • [DISPLAY_NAME]은 폴더의 표시 이름입니다. 상위 요소가 동일한 두 개의 폴더는 표시 이름을 공유할 수 없습니다. 표시 이름은 문자 또는 숫자로 시작하고 끝나야 하며 문자, 숫자, 공백, 하이픈, 밑줄을 포함할 수 있고 30자를 초과할 수 없습니다.
  • [ORGANIZATION_ID]는 상위 요소가 조직인 경우 상위 조직의 ID입니다.
  • [FOLDER_ID]는 상위 요소가 폴더인 경우 상위 폴더의 ID입니다.

API

폴더는 API 요청으로 만들 수 있습니다.

요청 JSON:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

폴더 생성 curl 요청:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

각 항목의 의미는 다음과 같습니다.

  • [DISPLAY_NAME]은 새 폴더의 표시 이름입니다(예: 'My Awesome Folder').
  • [ORGANIZATION_NAME]은 폴더를 만드는 조직의 이름입니다(예: organizations/123).

폴더 생성 응답:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

작업 가져오기 curl 요청:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

작업 가져오기 응답:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

폴더 관리자 역할 부여

생성하는 각 하위 조직 폴더에 한 명 이상의 사용자에게 폴더 관리자 역할을 부여합니다. 이러한 사용자는 폴더 및 해당 폴더가 나타내는 하위 조직에 대해 관리 권한을 가집니다.

폴더에 대한 액세스를 구성하려면 상위 수준에 폴더 IAM 관리자 또는 폴더 관리자 역할이 있어야 합니다.

콘솔

  1. Google Cloud Platform 콘솔에서 리소스 관리 페이지를 엽니다.

    리소스 관리 페이지 열기

  2. 왼쪽 상단의 조직 드롭다운 목록을 클릭한 다음 조직을 선택합니다.

  3. 권한을 변경할 프로젝트 옆에 있는 체크박스를 선택합니다.

  4. 오른쪽 정보 패널권한 아래에 추가할 구성원의 이메일 주소를 입력합니다.

  5. 역할 선택 드롭다운 목록에서 해당 구성원에게 부여할 역할을 선택합니다.

    UI 스크린샷

  6. 추가를 클릭합니다. 구성원의 새로운 역할 추가 또는 업데이트를 확인하는 알림이 나타납니다.

gcloud

gcloud 명령줄 도구 또는 API를 사용하여 프로그래매틱 방식으로 폴더에 대한 액세스를 구성할 수 있습니다.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

다른 방법은 다음과 같습니다.

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

각 항목의 의미는 다음과 같습니다.

  • [FOLDER_ID]는 새 폴더의 ID입니다.
  • [POLICY_FILE]은 폴더에 대한 정책 파일의 경로입니다.

API

SetsIamPolicy는 폴더에 대한 액세스 제어 정책을 설정하여 모든 기존 정책을 대체합니다. resource 필드는 폴더의 리소스 이름이어야 합니다(예: folders/1234).

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

curl 요청:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

각 항목의 의미는 다음과 같습니다.

  • [FOLDER_NAME]은 IAM 정책을 설정하는 폴더의 이름입니다(예: folders/123).

하위 조직 역할 제한

폴더 관리자프로젝트 생성자 역할을 하위 조직의 구성원으로 제한할 수 있습니다. 또한 조직 노드의 IAM 정책에 있는 프로젝트 생성자 역할에서 도메인을 삭제할 수 있습니다.

G Suite 최고 관리자에게는 취소 불가능한 조직 관리자 권한이 있습니다. 이러한 최고 관리자는 일반적으로 GCP 리소스 및 리소스 정책을 관리하는 대신 ID 및 ID 정책을 관리합니다.

콘솔

Google Cloud Platform 콘솔을 사용하여 기본적으로 사용자에게 할당된 역할을 삭제하려면 다음 단계를 따르세요.

  1. GCP 콘솔에서 리소스 관리 페이지로 이동합니다.

    리소스 관리 페이지 열기

  2. 페이지 상단의 조직 드롭다운 목록을 클릭한 다음 조직을 선택합니다.

  3. 권한을 변경할 조직 리소스의 체크박스를 선택합니다. 폴더 리소스가 없으면 조직 리소스가 표시되지 않습니다. 계속하려면 Cloud IAM 페이지를 통해 역할을 취소하는 방법에 대한 안내를 확인하세요.

  4. 오른쪽 패널의 권한에서 사용자를 삭제할 역할을 클릭해 펼칩니다.

  5. 펼쳐진 역할 목록에서 삭제할 구성원 옆에 있는 삭제를 클릭합니다. UI 스크린샷

  6. 구성원을 삭제하시겠습니까? 대화상자가 나타나면 삭제를 클릭해 지정된 구성원의 역할 삭제를 확인합니다.

  7. 삭제하려는 역할이 있을 때마다 위의 두 단계를 반복하세요.

아래 다이어그램은 폴더를 사용하여 두 부서를 구분한 조직을 보여줍니다. 엔지니어링 및 재무 부서의 책임자는 관리 권한을 갖고 있으며 다른 사용자는 프로젝트를 만들 수 없습니다.

계층 구조 다이어그램

여러 조직 노드 사용

조직에 여러 G Suite 계정이 있는 경우 기본적으로 여러 개의 조직 노드가 있습니다. 중앙 집중식 가시성 및 제어권을 유지하려면 조직 노드 하나를 마스터 조직 노드로 선택해야 합니다. 마스터 조직 노드와 연결된 G Suite 계정의 최고 관리자는 모든 리소스(다른 G Suite 계정의 사용자가 만든 리소스 포함)에 대한 관리 권한을 갖습니다. 이러한 G Suite 계정의 사용자는 마스터 조직 노드 아래에 있는 폴더에 대한 액세스 권한을 부여받고 여기에 프로젝트를 만들 수 있게 됩니다.

조직 관리자 선택

조직 노드의 Cloud IAM 조직 관리자 역할을 수행할 한 명 이상의 사용자를 선택합니다.

콘솔

조직 관리자를 추가하려면 다음 단계를 따르세요.

  1. Google Cloud Platform Console에 G Suite 또는 Cloud ID 최고 관리자로 로그인하고 IAM 및 관리자 페이지로 이동합니다.

    IAM 및 관리자 페이지 열기

  2. 수정할 조직을 선택합니다.

    1. 페이지 맨 위에 있는 프로젝트 선택 드롭다운 목록을 클릭합니다.

    2. 선택 대화상자가 나타나면 조직 드롭다운 목록을 클릭하고 조직 관리자를 추가할 조직을 선택합니다.

    3. 나타나는 목록에서 조직을 클릭하여 IAM 권한 페이지를 엽니다.

  3. 추가를 클릭한 다음 조직 관리자로 설정할 1명 이상의 사용자 이메일 주소를 입력합니다.

  4. 역할 선택 드롭다운 목록에서 리소스 관리자 > 조직 관리자를 선택한 후 추가를 클릭합니다.

  5. 조직 관리자는 조직을 완전히 제어할 수 있으며, G Suite 또는 Cloud ID 최고 관리자와 GCP 관리자 간에 책임을 완전히 분리할 수 있습니다.

  6. 조직 관리자는 관련된 Cloud IAM 역할을 할당하여 중요한 기능에 대한 책임을 위임할 수 있습니다.

프로젝트 생성자 역할 삭제

다른 조직 노드에서 리소스가 생성되지 않도록 하려면 조직 노드에서 프로젝트 생성자 역할을 삭제합니다.

콘솔

Google Cloud Platform 콘솔을 사용하여 기본적으로 사용자에게 할당된 역할을 삭제하려면 다음 단계를 따르세요.

  1. GCP 콘솔에서 리소스 관리 페이지로 이동합니다.

    리소스 관리 페이지 열기

  2. 페이지 상단의 조직 드롭다운 목록을 클릭한 다음 조직을 선택합니다.

  3. 권한을 변경할 조직 리소스의 체크박스를 선택합니다. 폴더 리소스가 없으면 조직 리소스가 표시되지 않습니다. 계속하려면 Cloud IAM 페이지를 통해 역할을 취소하는 방법에 대한 안내를 확인하세요.

  4. 오른쪽 패널의 권한에서 사용자를 삭제할 역할을 클릭해 펼칩니다.

  5. 펼쳐진 역할 목록에서 삭제할 구성원 옆에 있는 삭제를 클릭합니다. UI 스크린샷

  6. 구성원을 삭제하시겠습니까? 대화상자가 나타나면 삭제를 클릭해 지정된 구성원의 역할 삭제를 확인합니다.

  7. 삭제하려는 역할이 있을 때마다 위의 두 단계를 반복하세요.

G Suite 계정에 폴더 만들기

각 G Suite 계정의 조직 노드 아래에 폴더를 만듭니다.

폴더를 만들려면 상위 수준의 폴더 관리자 또는 폴더 생성자 역할이 있어야 합니다. 예를 들어 조직 수준에서 폴더를 만들려면 조직 수준에 이러한 역할 중 하나가 있어야 합니다.

폴더를 만드는 과정에서 폴더에 이름을 지정해야 합니다. 폴더 이름은 다음 요구 사항을 충족해야 합니다.

  • 이름은 문자, 숫자, 공백, 하이픈, 밑줄을 포함할 수 있습니다.
  • 폴더의 표시 이름은 문자 또는 숫자로 시작하고 끝나야 합니다.
  • 이름은 30자 이하여야 합니다.
  • 이름은 상위 항목을 공유하는 다른 모든 폴더와 구분되어야 합니다.

폴더를 만드는 방법은 다음과 같습니다.

콘솔

'프로젝트 및 폴더 관리' 섹션을 사용하여 UI에서 폴더를 만들 수 있습니다.

  1. GCP Console에서 리소스 관리 페이지로 이동합니다.

    리소스 관리 페이지 열기

  2. 폴더 만들기를 클릭합니다.

  3. 폴더 이름 상자에 새 폴더의 이름을 입력합니다.

  4. 대상 아래에서 찾아보기를 클릭한 다음 새 폴더를 만들 조직 노드 또는 폴더를 선택합니다.

    1. 만들기를 클릭합니다.

gcloud

폴더는 gcloud 명령줄 도구를 사용하여 프로그래매틱 방식으로 만들 수 있습니다.

gcloud 명령줄 도구를 사용하여 조직 리소스 아래에 폴더를 만들려면 다음 명령어를 실행합니다.

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

상위 항목이 다른 폴더인 폴더를 만들려면 다음 명령어를 실행합니다

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

각 항목의 의미는 다음과 같습니다.

  • [DISPLAY_NAME]은 폴더의 표시 이름입니다. 상위 요소가 동일한 두 개의 폴더는 표시 이름을 공유할 수 없습니다. 표시 이름은 문자 또는 숫자로 시작하고 끝나야 하며 문자, 숫자, 공백, 하이픈, 밑줄을 포함할 수 있고 30자를 초과할 수 없습니다.
  • [ORGANIZATION_ID]는 상위 요소가 조직인 경우 상위 조직의 ID입니다.
  • [FOLDER_ID]는 상위 요소가 폴더인 경우 상위 폴더의 ID입니다.

API

폴더는 API 요청으로 만들 수 있습니다.

요청 JSON:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

폴더 생성 curl 요청:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

각 항목의 의미는 다음과 같습니다.

  • [DISPLAY_NAME]은 새 폴더의 표시 이름입니다(예: 'My Awesome Folder').
  • [ORGANIZATION_NAME]은 폴더를 만드는 조직의 이름입니다(예: organizations/123).

폴더 생성 응답:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

작업 가져오기 curl 요청:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

작업 가져오기 응답:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

폴더 관리자 역할 부여

생성된 각 폴더에 대해 한 명 이상의 사용자에게 폴더 관리자 역할을 부여합니다. 이러한 사용자는 폴더 및 해당 폴더가 나타내는 하위 조직에 대해 관리 권한을 위임 받습니다.

폴더에 대한 액세스를 구성하려면 상위 수준에 폴더 IAM 관리자 또는 폴더 관리자 역할이 있어야 합니다.

콘솔

  1. Google Cloud Platform 콘솔에서 리소스 관리 페이지를 엽니다.

    리소스 관리 페이지 열기

  2. 왼쪽 상단의 조직 드롭다운 목록을 클릭한 다음 조직을 선택합니다.

  3. 권한을 변경할 프로젝트 옆에 있는 체크박스를 선택합니다.

  4. 오른쪽 정보 패널권한 아래에 추가할 구성원의 이메일 주소를 입력합니다.

  5. 역할 선택 드롭다운 목록에서 해당 구성원에게 부여할 역할을 선택합니다.

    UI 스크린샷

  6. 추가를 클릭합니다. 구성원의 새로운 역할 추가 또는 업데이트를 확인하는 알림이 나타납니다.

gcloud

gcloud 명령줄 도구 또는 API를 사용하여 프로그래매틱 방식으로 폴더에 대한 액세스를 구성할 수 있습니다.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

다른 방법은 다음과 같습니다.

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

각 항목의 의미는 다음과 같습니다.

  • [FOLDER_ID]는 새 폴더의 ID입니다.
  • [POLICY_FILE]은 폴더에 대한 정책 파일의 경로입니다.

API

SetsIamPolicy는 폴더에 대한 액세스 제어 정책을 설정하여 모든 기존 정책을 대체합니다. resource 필드는 폴더의 리소스 이름이어야 합니다(예: folders/1234).

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

curl 요청:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

각 항목의 의미는 다음과 같습니다.

  • [FOLDER_NAME]은 IAM 정책을 설정하는 폴더의 이름입니다(예: folders/123).

그런 다음 각 폴더 관리자는 사용자에게 연결된 도메인의 프로젝트 생성자 역할을 부여할 수 있습니다.

아래 다이어그램은 획득한 보조 도메인과 격리된 기본 도메인이 있는 조직을 보여줍니다. 두 도메인에는 각각 자체 G Suite 계정이 있으며 hypothetical.com은 마스터 조직 노드입니다.

계층 구조 다이어그램

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서