이 가이드에서는 Google Cloud내에서 독립형 조직을 획득하고 관리하는 방법을 설명합니다.
조직 리소스는 Google Cloud리소스 계층 구조의 루트 노드 역할을 합니다. 대부분의 경우 조직을 만들려면 Cloud ID 최고 관리자여야 하고 Google Cloud 조직을 DNS 도메인에 연결해야 합니다.
독립형 조직의 경우 Cloud ID가 필요하지 않습니다. Google Cloud 에 가입하고 Google 이메일 주소를 제공하면 독립형 조직이 자동으로 생성됩니다. 계정 소유자는 조직 소유자 역할도 획득합니다. 그런 다음 조직 세부정보 페이지를 사용하여 다른 사용자의 소유권 액세스를 관리할 수 있습니다.
독립형 조직은 다음과 같은 이점을 제공합니다.
- 제휴 ID가 있는 사용자를 조직 소유자로 추가하는 기능
- 여러 조직을 지원하여 다양한 기능을 테스트할 수 있습니다.
- 직원이 퇴사할 때 단일 장애점을 방지하도록 여러 조직 소유자를 지원할 수 있습니다.
다음 표에서는 Cloud Identity 조직과 독립형 조직의 차이점을 간략하게 설명합니다.
| 역량 | Cloud ID 조직 | 독립형 조직 |
|---|---|---|
| 기본 | ||
| Cloud ID 필요 | 예 | 아니요 |
| 가입 | ||
| 가입에 필요한 ID | 2 | 1 |
| 도메인/DNS 확인 필요 | 예 | 아니요 |
| 소유권 | ||
| 취소 불가능한 최고 관리자 소유권 | 예 | 아니요 |
| Cloud ID를 조직 소유자로 사용 | 예 | 예 |
| 조직 소유자로서의 제휴 ID | 불가능 | 예 |
| 조직 소유자인 Google 계정 | 불가능 | 예 |
| 수명 주기 | ||
| 조직 소유자 변경 | 불가능 | 예 |
| 조직 삭제 | 격리되지 않음 | 예 |
| 삭제된 조직 복원하기 | 불가능 | 예 |
| 표시 이름 변경 | 불가능 | 예 |
| 거버넌스 | ||
| 주 구성원 액세스 경계 (PAB) 정책을 정의하여 사용자 제한 | 예 | 예 |
시작하기 전에
시작하기 전에 다음을 검토하세요.
- 조직 리소스를 이해합니다.
- Google Cloud 시작 영역의 리소스 계층 구조를 결정하는 방법을 알아보세요.
조직 식별
독립형 조직은 조직 이름과 조직 ID로 식별됩니다.
조직 이름
기본 조직 이름은 사용자 이름과 -org을 결합하여 생성됩니다.
사용자 이름의 특수문자는 대시로 대체됩니다. 예를 들어 사용자 이름이 lara_brown이면 조직 이름은 lara-brown-org이 됩니다.
이 이름은 Google API에서 사용되지 않습니다. 조직을 만든 후 언제든지 조직 이름을 수정할 수 있습니다.
이름이 다음 기준을 충족하는지 확인합니다.
- 문자, 숫자 또는 하이픈만 포함해야 합니다.
- 도메인 이름을 사용하지 마세요. 도메인 이름은 Cloud ID 및 Google Workspace 조직용으로만 예약됩니다.
- 'Google Cloud'과 같은 일반적인 단어를 포함하지 마세요.
조직 ID
조직 ID는 조직의 전역 고유 식별자입니다.Google Cloud 콘솔은 Google Cloud의 다른 모든 조직과 내 조직을 구분하기 위해 이 번호를 생성합니다. 조직 ID는 정수 형식이며 앞에 0이 올 수 없습니다.
조직 이름이나 기타 리소스 이름에 개인 식별 정보(PII) 또는 보안 데이터와 같은 민감한 정보를 포함하지 마세요. 조직 ID는 다른 여러 Google Cloud 리소스의 이름에 사용됩니다. 조직이나 관련 리소스에 대한 모든 참조는 조직 ID와 리소스 이름을 노출합니다.
독립형 조직 리소스 가져오기
독립형 조직은 모든 신규 Google Cloud 고객이 사용할 수 있습니다. Google Cloud 계정을 만들면 조직 리소스가 자동으로 생성됩니다. 이 작업은 Google Cloud 콘솔에 로그인하고 약관에 동의할 때 발생합니다. 기존Google Cloud 계정에는 독립형 조직을 사용할 수 없습니다.
사용자 계정당 하나의 조직만 생성됩니다. 하지만 여러 조직을 소유하고 관리할 단일 사용자를 초대할 수는 있습니다.
조직 리소스가 생성되면 시스템에서 계정 소유자에게 다음 역할을 할당합니다.
roles/cloudowner.admin(조직 소유자)roles/resourcemanager.organizationAdmin(조직 관리자)
조직에 소유자 및 관리자를 추가하는 방법에 대한 자세한 내용은 독립형 조직 설정하기를 참고하세요.
조직 ID 가져오기
독립형 조직의 조직 ID를 가져오려면 Google Cloud 콘솔, Google Cloud CLI 또는 Resource Manager API를 사용하면 됩니다.
콘솔
Google Cloud 콘솔에서 내 조직 페이지로 이동합니다.
표에는 조직과 조직 ID가 나열됩니다.
gcloud
조직 리소스 ID를 찾으려면 다음 명령어를 실행하세요.
gcloud organizations list
이 명령어는 사용자가 속한 모든 조직 리소스와 해당 조직 리소스 ID를 나열합니다.
API
Cloud Resource Manager API를 사용하여 조직 리소스 ID를 찾으려면 도메인에 대한 쿼리를 포함해 organizations.search() 메서드를 사용합니다. 예를 들면 다음과 같습니다.
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
응답에는 altostrat.com에 속한 조직 리소스의 메타데이터(조직 리소스 ID 포함)가 포함됩니다.
독립형 조직 설정
Google Cloud 계정을 만들면 독립형 조직 리소스가 자동으로 생성됩니다. 이 섹션에서는 초기 설정, 필수 역할, 조직 내에서 이러한 권한을 관리하는 방법을 알아봅니다.
계정 생성자는 조직 리소스에 액세스할 수 있는 첫 번째 사용자입니다. 조직의 다른 사용자는 리소스를 볼 수 있지만 적절한 권한이 설정된 후에만 수정할 수 있습니다.
조직 소유자와 조직 관리자는 조직 리소스의 수명 주기를 설정하고 제어하는 데 있어 핵심 역할입니다. 이 두 역할은 일반적으로 조직의 구조와 요구에 따라 서로 다른 사용자나 그룹에 할당됩니다.
조직 소유자의 책임
조직 소유자 역할을 사용하면 다음 작업을 수행할 수 있습니다.
- 다른 사용자에게 조직 관리자 역할을 할당합니다.
- 복구 문제가 발생할 경우 담당자 역할을 수행합니다.
- 독립형 조직 삭제, 복원, 이름 변경에 설명된 대로 독립형 조직 리소스의 수명 주기를 제어합니다.
조직 소유자는 개인 또는 직원 풀 내 주 구성원일 수 있습니다. 각 독립형 조직에는 항상 하나 이상의 활성 Google 계정이 조직 소유자로 있어야 합니다. 서비스 계정은 조직 소유자가 되도록 초대할 수 없습니다.
조직 관리자 책임
조직 관리자 역할을 사용하면 다음 작업을 수행할 수 있습니다.
- 허용 및 거부 정책을 정의합니다.
- Google Cloud에서 다른 사용자에게 Identity and Access Management 역할을 부여합니다.
- 리소스 계층 구조를 확인합니다.
최소 권한의 원칙에 따라 이 역할은 폴더 또는 프로젝트 만들기 등의 다른 작업을 수행할 수 없습니다. 이 권한을 얻으려면 조직 관리자가 계정에 추가 역할을 할당해야 합니다.
개인에게 조직 소유자 역할 부여
- 조직 소유자로 Google Cloud 콘솔에 로그인합니다.
Google Cloud 콘솔에서 조직 세부정보 페이지로 이동합니다.
조직 소유자에서 조직 소유자 추가를 클릭합니다.
소유자로 추가하려는 주 구성원의 이메일 주소를 입력합니다. 시스템에서 주 구성원에게 조직의 소유자가 되도록 초대하는 이메일을 보냅니다. 조직 소유자가 되려면 대표자가 30일 이내에 초대를 수락해야 합니다.
직원 ID 풀의 사용자에게 조직 소유자 역할 부여
이 단계에서는 조직에 직원 ID 제휴가 이미 구성되어 있다고 가정합니다. 또한 계정에 필수 연락처가 구성되어 있는지 확인합니다.
- 조직 소유자로 Google Cloud 콘솔에 로그인합니다.
Google Cloud 콘솔에서 조직 세부정보 페이지로 이동합니다.
조직 소유자에서 조직 소유자 추가를 클릭합니다.
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE형식으로 사용자의 주 구성원 식별자를 입력합니다.다음을 클릭합니다.
소유자 초대 링크를 전송할 이메일 주소를 입력합니다. Google Cloud 에서는 사용자에게 조직의 소유자가 되도록 초대하는 이메일을 전송합니다. 조직 소유자가 되려면 사용자가 30일 이내에 초대를 수락해야 합니다. 사용자가 초대를 수락하면 조직 관리자 역할이 자동으로 부여됩니다.
조직 소유자 삭제
조직 소유자 역할이 있는 사용자를 삭제하려면 다음 단계를 따르세요.
- 조직 소유자로 Google Cloud 콘솔에 로그인합니다.
Google Cloud 콘솔에서 조직 세부정보 페이지로 이동합니다.
조직 소유자에서 삭제할 주 구성원을 선택합니다.
표의 마지막 열에 있는 작업에서 주체 옆에 있는 추가 작업을 클릭합니다.
표시되는 대화상자에서 삭제를 클릭합니다.
조직 관리자 삭제
조직 관리자 역할이 있는 사용자를 삭제하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM 허용에서 주 구성원별 보기로 이동합니다.
역할을 부여한 주 구성원이 포함된 행을 찾아 해당 행에서 주 구성원 수정 을 클릭합니다.
권한 수정 창에서 조직 관리자 역할 옆에 있는 삭제 아이콘을 클릭합니다.
저장을 클릭합니다.