Google Cloud 조직 리소스를 구성하려면 Google Workspace 또는 Cloud ID 최고 관리자 계정을 사용해야 합니다. 이 페이지에서는 Google Cloud 조직 리소스에서 Google Workplace 또는 Cloud ID 최고 관리자 계정을 사용하기 위한 권장사항을 설명합니다.
계정 유형
Google Workspace 최고 관리자 계정에는 Cloud ID가 포함된 일련의 관리 기능이 있습니다. 문서, 스프레드시트, Google Cloud 등과 같은 모든 Google 서비스에서 사용할 수 있는 단일 ID 관리 제어 모음을 제공합니다.
Cloud ID 계정은 Google Workspace와 별개로 인증 및 ID 관리 기능만 제공합니다.
최고 관리자 이메일 주소 만들기
Google 작업공간 또는 Cloud ID 최고 관리자 계정으로 특정 사용자에게 지정되지 않은 새 이메일 주소를 만듭니다. 이 계정을 다단계 인증을 통해 더욱 안전하게 보호해야 하며 응급 복구 도구로 사용할 수 있습니다.
조직 관리자 지정
새 조직 리소스을 획득했으면 조직 관리자를 1명 이상 지정합니다. 이 역할에는 일상적인 조직 작업을 관리하도록 설계된 일부 권한들이 있습니다.
또한 Google Workplace 또는 Cloud ID 최고 관리자 계정에 비공개 Google Cloud 관리자 그룹을 만들어야 합니다. 조직 관리자 사용자를 이 그룹에 추가하되 최고 관리자는 추가하지 않습니다. 이 그룹에 조직 관리자 IAM 역할 또는 역할 권한의 제한된 권한을 부여합니다.
최고 관리자 계정을 조직 관리자 그룹과 별도로 유지하는 것이 좋습니다. 최고 관리자는 조직 리소스 및 콘텐츠를 가장 잘 관리할 수 있는 적절한 사용자에게 조직 관리자 역할을 부여할 수 있습니다.
Identity and Access Management 정책을 사용한 조직 리소스의 액세스 제어 관리에 대한 자세한 내용은 IAM을 사용하여 조직의 액세스 제어를 참조하세요.
적절한 역할 설정
Google Workspace 및 Cloud ID에는 최고 관리자 역할만큼의 권한이 없는 관리자 역할이 있습니다. 사용자와 그룹을 관리하는 데 필요한 최소한의 권한들을 사용자에게 부여하여 최소 권한 원칙을 따르는 것이 좋습니다.
최고 관리자 계정 사용 억제
Google Workspace 및 Cloud ID 최고 관리자 계정에는 조직의 일일 관리에 사용할 필요가 없는 강력한 권한들이 있습니다. 다음과 같이 최고 관리자 계정을 보호하는 정책을 구현하여 사용자가 일상 작업에 최고 관리자 계정을 사용할 가능성을 낮춰야 합니다.
최고 관리자 계정과 향상된 권한을 가진 모든 계정에 다단계 인증을 적용합니다.
보안 키 또는 기타 물리적 인증 장치를 사용하여 2단계 인증을 적용합니다.
최초 최고 관리자 계정인 경우, 보안 키가 안전한 장소, 가급적이면 물리적 위치에 보관되어야 합니다.
최고 관리자에게 별도의 로그인이 필요한 별도의 계정을 제공합니다. 예를 들어, 사용자 alice@example.com은 최고 관리자 계정 alice-admin@example.com을 가질 수 있습니다.
- 타사 ID 프로토콜과 동기화하는 경우, Cloud ID와 해당 타사 ID에 동일한 정지 정책을 적용해야 합니다.
Google Workplace 엔터프라이즈 또는 비즈니스 계정 또는 Cloud ID Premium 계정이 있는 경우 모든 최고 관리자 계정에 짧은 로그인 기간을 적용할 수 있습니다.
관리자 계정의 보안 권장 사항 패턴에 나온 안내를 따르세요.
API 호출 알림
Google Cloud Observability를 사용하여 SetIamPolicy()
API가 호출될 때 알려주는 알림을 설정을 합니다. 이렇게 하면 누군가가 IAM 정책을 수정할 경우 알림이 전송됩니다.
계정 복구 프로세스
조직 관리자가 최고 관리자 계정 복구 프로세스에 익숙해야 합니다. 최고 관리자의 사용자 인증 정보가 손실되거나 훼손된 경우, 이 프로세스는 계정을 복구하는 데 유용합니다.
여러 조직 리소스
폴더를 사용하여 별도로 관리할 조직을 부분별로 관리하는 것이 좋습니다. 여러 조직 리소스를 대신 사용하려면 여러 개의 Google Workplace 또는 Cloud ID 계정이 필요합니다. Google Workspace 및 Cloud ID를 여러 개 사용할 경우 미치는 영향에 대한 자세한 내용은 여러 조직 리소스 관리를 참조하세요.