리소스 계층 구조 정보

리소스 Google Cloud 계층 구조는 클라우드 리소스를 체계적으로 구성하는 방법을 제공합니다. 계층 구조에서 최상위 리소스를 제외한 모든 리소스는 단 하나의 상위 요소만을 가집니다. 계층 구조는 최상위의 조직 (루트), 그룹화를 위한 폴더 (선택사항), Compute Engine 가상 머신 및 스토리지 버킷과 같은 실제 서비스 리소스가 포함된 프로젝트로 구성됩니다.

구조화된 계층 구조를 사용하면 다음과 같은 이점이 있습니다.

  • 소유권: 리소스의 수명 주기를 직계 상위 요소에 바인딩합니다. 프로젝트는 프로젝트를 만든 개별 직원이 아닌 조직에 속합니다. 직원이 퇴사해도 프로젝트는 활성 상태로 유지되고 안전하게 보호됩니다.
  • 상속: 계층 구조를 따라 흐르는 액세스 제어 및 조직 정책의 연결 지점을 제공합니다. 조직 또는 폴더와 같은 상위 수준에서 역할을 부여할 수 있습니다. 이러한 역할은 모든 하위 리소스에 상속되므로 개별 프로젝트마다 권한을 수동으로 구성할 필요가 없습니다.

다음 다이어그램은 Google Cloud 리소스 계층 구조를 보여줍니다.

Google Cloud 리소스 계층 구조(조직이 최상위에 있으며 폴더, 프로젝트, 서비스 리소스가 포함됨)

조직 리소스

조직 리소스 는 항목 (예: 회사)을 나타내며 Google Cloud 리소스 계층 구조의 루트 노드 역할을 합니다. 다음과 같은 주요 기능을 제공합니다.

  • 조직은 모든 폴더 및 프로젝트 리소스의 상위 요소 역할을 합니다.
  • 이 수준에서 적용되는 액세스 제어 정책 (예: Identity and Access Management (IAM) 역할) 및 조직 정책은 조직의 모든 리소스에 상속됩니다.
  • 모든 Google Cloud 사용자에게 엄격하게 요구되지는 않지만 특정 Resource Manager 기능을 사용하려면 조직 리소스 가 필요합니다.

조직 리소스에 액세스하려면 Google Workspace 또는 Cloud ID 계정이 있어야 합니다.

  • Google Workspace 또는 Cloud ID 계정은 조직 리소스 하나에만 연결될 수 있습니다.
  • Google Workspace 또는 Cloud ID 계정을 가진 사용자가 프로젝트 리소스를 만들면 조직 리소스가 자동으로 프로비저닝됩니다. Google Cloud

다음 이미지는 Google Workspace 계정, Cloud ID, 리소스 계층 구조 간의 연결을 보여줍니다. Google Cloud

Google Workspace 또는 Cloud ID 계정과 Google Cloud 리소스 계층 구조 간의 관계

Google Workspace 최고 관리자는 복구 시 도메인 소유권 확인 및 연락 담당자입니다. 이러한 이유로 Google Workspace 최고 관리자에게는 기본적으로 IAM 역할을 할당할 수 있는 권한이 부여됩니다. 와 관련하여 Google Workspace 최고 관리자의 주요 업무는 조직 관리자 IAM 역할을 해당 도메인의 적절한 사용자에게 할당하는 것입니다. Google Cloud 이렇게 하면 일반적으로 사용자가 원하는 Google Workspace와 Google Cloud 관리 책임이 분리됩니다.

관리 사용자의 프로젝트 생성 규칙

도메인에 조직 리소스가 있으면 프로젝트 생성에 엄격한 규칙이 적용됩니다.

  • 관리 사용자 (계정 도메인의 구성원)는 조직 내에서 프로젝트를 만들어야 합니다. 조직 리소스와 연결된 계정은 조직 리소스와 연결되지 않은 프로젝트 리소스를 만들 수 없습니다.
  • 기본적으로 새 프로젝트는 사용자와 연결된 조직에 속합니다.
  • 사용자에게 적절한 권한이 있으면 프로젝트를 만드는 동안 다른 조직 리소스를 지정할 수 있습니다. 그렇지 않으면 기본적으로 홈 조직이 사용됩니다.

조직 리소스의 이점

조직 리소스가 있으면 프로젝트 리소스는 프로젝트를 만든 직원이 아닌 조직에 속하게 됩니다. 즉, 직원이 퇴사해도 조직은 프로젝트 리소스를 유지합니다. 프로젝트 리소스는 의 조직 리소스 수명 주기를 따릅니다. Google Cloud

또한 조직 관리자는 모든 리소스를 중앙에서 제어합니다. 회사의 모든 프로젝트 리소스를 보고 관리할 수 있습니다. 이렇게 하면 비공식 프로젝트 또는 확인되지 않은 관리자가 방지됩니다.

또한 조직 리소스의 모든 프로젝트 및 폴더 리소스에 상속되는 역할을 조직 수준에서 부여할 수 있습니다. 예를 들어 조직 수준에서 네트워크 관리자 역할을 네트워킹팀에 부여할 수 있습니다. 그러면 모든 개별 프로젝트 리소스에 대한 역할을 부여하지 않고도 회사의 모든 프로젝트 리소스에서 모든 네트워크를 관리하도록 할 수 있습니다.

조직 리소스는 다음 속성으로 정의됩니다.

  • 조직의 고유한 식별자인 조직 리소스 ID
  • Google Workspace 또는 Cloud ID의 기본 도메인 이름에서 생성되는 표시 이름
  • 조직 생성 시간
  • 조직의 마지막 수정 시간
  • 조직 리소스의 소유자( Directory API의 Google Workspace 고객 ID) 조직 리소스를 만들 때 소유자를 지정하며 변경할 수 없습니다.

다음 코드 스니펫은 조직 리소스의 구조를 보여줍니다.

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

새 조직 리소스의 초기 허용 정책은 프로젝트 생성자 및 결제 계정 생성자 역할을 전체 Google Workspace 도메인에 부여합니다. 즉, 사용자는 조직 리소스가 있기 전과 같이 프로젝트 리소스와 결제 계정을 계속 만들 수 있습니다. 조직 리소스를 만들 때 다른 리소스는 만들어지지 않습니다. 허용, 거부, 조직 정책은 계층 구조를 통해 상속되며, 계층 구조에서 각 리소스의 유효 정책은 리소스에 직접 적용된 정책과 상위 항목에서 상속된 정책의 결과입니다.

폴더 리소스

폴더 리소스는 조직 리소스와 프로젝트 리소스 간의 선택적 그룹화 메커니즘입니다. 폴더를 사용하려면 조직 리소스가 있어야 합니다. 폴더 리소스와 하위 프로젝트 리소스는 조직 리소스 아래에 있습니다.

폴더 리소스는 프로젝트 간에 격리 경계를 제공할 수 있습니다. 조직 리소스 내에서 하위 조직으로 작동합니다. 폴더 리소스는 회사 내의 다양한 법인, 부서, 팀을 모델링할 수 있습니다. 예를 들어 폴더의 첫 번째 수준은 조직의 주요 부서를 나타낼 수 있습니다. 폴더는 프로젝트와 다른 폴더를 포함할 수 있으므로 각 폴더는 다른 팀을 나타내는 하위 폴더를 포함할 수 있습니다. 각 팀 폴더는 다른 애플리케이션을 나타내는 추가적인 하위 폴더를 포함할 수 있습니다. 폴더 리소스 사용에 대한 자세한 내용은 폴더 만들기를 참조하세요.

조직 리소스에 폴더 리소스가 있고 적절한 보기 권한이 있으면 Google Cloud 콘솔에서 폴더 리소스를 볼 수 있습니다. 자세한 내용은 폴더 보기, 업데이트, 삭제를 참조하세요.

폴더 리소스를 사용하면 관리 권한을 위임할 수 있습니다. 예를 들어 각 부서 책임자에게 해당 부서의 모든 Google Cloud 리소스에 대한 완전한 소유권을 부여할 수 있습니다. 마찬가지로 폴더 리소스는 리소스에 대한 액세스를 제한할 수 있습니다. 즉, 한 부서의 사용자는 해당 폴더 리소스 내의 리소스만 액세스하고 만들 수 있습니다. Google Cloud

다음 코드 스니펫은 폴더 리소스의 구조를 보여줍니다.

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

조직 및 프로젝트 리소스와 마찬가지로 폴더 리소스도 허용, 거부, 조직 정책의 정책 상속 지점 역할을 합니다. 폴더 리소스에 부여된 IAM 역할은 해당 폴더의 모든 프로젝트 및 폴더 리소스에 상속됩니다.

프로젝트 리소스

프로젝트 리소스는 기본적인 구성 항목입니다. 조직 및 폴더 리소스에는 여러 프로젝트가 포함될 수 있습니다. 를 사용하려면 프로젝트 리소스가 필요합니다. Google Cloud모든 Google Cloud 서비스 생성, 사용 설정, 사용, API 관리, 결제 사용 설정, 공동작업자 추가 및 삭제, 권한 관리에 필수적입니다.

모든 프로젝트 리소스는 다음으로 구성됩니다.

  • 식별자 2개:
    1. 프로젝트 리소스의 고유 식별자인 프로젝트 리소스 ID
    2. 프로젝트를 만들 때 자동으로 할당되는 프로젝트 리소스 번호. 읽기 전용입니다.
  • 변경 가능한 표시 이름 1개
  • 프로젝트 리소스의 수명 주기 상태(예: ACTIVE 또는 DELETE_REQUESTED)
  • 프로젝트를 필터링하는 데 사용할 수 있는 라벨 컬렉션
  • 프로젝트 리소스가 생성된 시간

다음 코드 스니펫은 프로젝트 리소스의 구조를 보여줍니다.

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

대부분의 Google Cloud 리소스와 상호작용하려면 모든 요청에 대해 프로젝트 리소스 식별자를 제공해야 합니다. 프로젝트 리소스는 프로젝트 리소스 ID 또는 프로젝트 리소스 번호로 식별할 수 있습니다. 코드 스니펫에서 이러한 식별자는 projectIdprojectNumber입니다.

프로젝트 리소스 ID는 프로젝트를 만들 때 선택한 맞춤설정된 이름입니다. 프로젝트가 필요한 API를 활성화하면 새 프로젝트를 만들거나 프로젝트 리소스 ID를 사용하여 기존 프로젝트를 선택할 수 있습니다. UI에 표시되는 name 문자열은 프로젝트 리소스 ID와 동일하지 않습니다.

Google Cloud 프로젝트 리소스 번호를 자동으로 생성합니다. 프로젝트 리소스 ID와 번호는 콘솔의 프로젝트 대시보드에서 확인할 수 있습니다.Google Cloud 프로젝트 리소스에 대한 프로젝트 식별자 및 기타 관리 작업을 가져오는 방법은 프로젝트 만들기를 참조하세요.

새로 만든 프로젝트 리소스의 초기 IAM 정책은 소유자 역할을 프로젝트 생성자에게 부여합니다.

무료 체험판 사용자, 무료 등급 사용자, Google Workspace 및 Cloud ID 고객을 포함한 모든 사용자가 프로젝트 리소스를 만들 수 있습니다. 무료 프로그램 사용자는 프로젝트 내에서 프로젝트 리소스 및 서비스 리소스만 만들 수 있습니다.Google Cloud 프로젝트 리소스는 계층 구조의 최상위 요소일 수 있지만 무료 체험판 사용자 또는 무료 등급 사용자가 만든 경우에만 해당됩니다. Google Workspace 및 Cloud ID 고객은 조직 및 폴더 리소스와 같은 Google Cloud 리소스 계층 구조의 추가 기능에 액세스할 수 있습니다. Cloud ID 개요에서 자세히 알아보세요. 계층 구조의 맨 위에 있는 프로젝트 리소스에는 상위 리소스가 없지만 도메인에 생성된 리소스는 조직 리소스로 마이그레이션할 수 있습니다. 프로젝트 리소스 마이그레이션에 대한 자세한 내용은 조직 리소스 간에 프로젝트 마이그레이션을 참조하세요.

다음 단계