최고 관리자 계정 권장사항

Google Cloud Platform(GCP) 조직 리소스를 구성하려면 G Suite 또는 Cloud ID 최고 관리자 계정을 사용해야 합니다. 최고 관리자 계정은 조직의 일상적인 관리에는 사용이 권장되지 않는 취소할 수 없는 관리자 권한을 가집니다. 이 페이지에서는 Google Cloud Platform 조직에서 G Suite 또는 Cloud ID 최고 관리자 계정을 사용하기 위한 권장사항을 설명합니다.

계정 유형

G Suite 최고 관리자 계정에는 Cloud ID가 포함된 일련의 관리 기능이 있습니다. 문서, 스프레드시트, GCP 등과 같은 모든 Google 서비스에서 사용할 수 있는 단일 ID 관리 제어 모음을 제공합니다.

Cloud ID 계정은 G Suite와 별개로 인증 및 ID 관리 기능만 제공합니다.

최고 관리자 이메일 주소 만들기

특정 사용자가 지정되지 않은 새 이메일 주소를 G Suite 또는 Cloud ID 최고 관리자 계정으로 만듭니다. 이 계정을 다단계 인증을 통해 더욱 안전하게 보호해야 하며 응급 복구 도구로 사용할 수 있습니다.

조직 관리자 지정

새 조직을 획득했으면 조직 관리자를 한 명 이상 지정합니다. 이 역할에는 일상적인 조직 작업을 관리하도록 설계된 일부 권한들이 있습니다.

또한 G Suite 또는 Cloud ID 최고 관리자 계정에 비공개 GCP 관리자 그룹을 만들어야 합니다. 조직 관리자 사용자를 이 그룹에 추가하지만 최고 관리자를 추가하지 않습니다. 이 그룹에 조직 관리자 Cloud IAM 역할 또는 역할의 제한된 권한을 부여합니다.

최고 관리자 계정을 조직 관리자 그룹과 별도로 유지하는 것이 좋습니다. 최고 관리자는 취소할 수 없는 조직 관리자 권한을 가지며 해당 역할을 부여할 수 있습니다. 하지만 최고 관리자를 삭제하면 최고 관리자 계정을 사용하여 조직의 일일 관리를 하지 못할 수 있습니다.

Cloud Identity and Access Management 정책을 사용하여 조직의 액세스 제어 관리에 대한 자세한 내용은 IAM을 사용하여 조직의 액세스 제어를 참조하세요.

적절한 역할 설정

G Suite 및 Cloud ID에는 최고 관리자 역할만큼의 권한이 없는 관리자 역할이 있습니다. 사용자와 그룹을 관리하는 데 필요한 최소한의 권한들을 사용자에게 부여하여 최소 권한 원칙을 따르는 것이 좋습니다.

최고 관리자 계정 사용 억제

G Suite 및 Cloud ID 최고 관리자 계정에는 조직의 일일 관리에 사용할 필요가 없는 강력한 권한들이 있습니다. 다음과 같은 최고 관리자 계정을 보호하는 정책을 구현하여 사용자가 일상 작업에 최고 관리자 계정을 사용할 가능성을 낮춰야 합니다.

  • 최고 관리자 계정과 향상된 권한을 가진 모든 계정에 다단계 인증을 적용합니다.

  • 보안 키 또는 기타 물리적 인증 장치를 사용하여 2단계 인증을 적용합니다.

  • 최초 최고 관리자 계정인 경우, 보안 키가 안전한 장소, 가급적이면 물리적 위치에 보관되어야 합니다.

  • 최고 관리자에게 별도의 로그인이 필요한 별도의 계정을 제공합니다. 예를 들어, 사용자 alice@example.com은 최고 관리자 계정 alice-admin@example.com을 가질 수 있습니다.

    • 타사 ID 프로토콜과 동기화하는 경우, Cloud ID와 해당 타사 ID에 동일한 정지 정책을 적용해야 합니다.
  • G Suite 엔터프라이즈 또는 비즈니스 계정이나 Cloud ID 프리미엄 계정이 있다면 최고 관리자 계정에 짧은 로그인 기간을 적용할 수 있습니다.

API 호출 알림

Stackdriver를 사용하여 SetIamPolicy() API가 호출될 때 받을 알림을 설정합니다. 이렇게 하면 누군가가 Cloud IAM 정책을 수정하면 알림이 전송됩니다.

계정 복구 프로세스

조직 관리자가 최고 관리자 계정 복구 프로세스에 익숙해야 합니다. 최고 관리자의 사용자 인증 정보가 손실되거나 훼손된 경우, 이 프로세스는 계정을 복구하는 데 유용합니다.

여러 조직

폴더를 사용하여 별도로 관리할 조직을 부분별로 관리하는 것이 좋습니다. 여러 조직 리소스를 대신 사용하려면 G Suite 또는 Cloud ID 계정이 여러 개 필요합니다. G Suite 및 Cloud ID를 여러 개 사용하면 미치는 영향에 대한 자세한 내용은 여러 조직 관리를 참조하세요.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서