파트너 관리 폴더 만들기

이 페이지에서는 파트너용 주권 요구사항 제어의 새 폴더를 만드는 방법을 안내합니다. 파트너용 주권 요구사항 제어와 함께 사용할 다른 리소스를 만들기 전에 이 폴더를 만들어야 합니다.

시작하기 전에

새 폴더를 만들기 전에 다음 작업을 완료했는지 확인하세요.

Google Cloud 에 온보딩을 완료하고 파트너 관리 폴더를 만들라는 이메일을 받았습니다.
조직에서 iam.allowedPolicyMemberDomains 조직 정책 제약 조건을 시행하는 경우 파트너의 소버린 컨트롤 폴더를 만들기 전에 다음 추가 도메인 ID를 허용해야 합니다.
- 파트너의 Google Cloud 조직 ID 또는 Google Workspace 고객 ID
- Google의 고객 ID(C02h8e9nw)
이러한 ID를 허용하면 파트너와 Google에서 워크로드를 관리하는 데 필요한 IAM 역할을 조직에 부여할 수 있습니다. 온보딩 과정에서 파트너가 조직 ID 또는 고객 ID를 제공하지 않은 경우 파트너에게 요청하세요. 이러한 ID를 허용하기 전에 폴더를 만들려고 하면 다음 오류가 발생하면서 작업이 실패합니다. One or more users named in the policy do not belong to a permitted customer.

iam.allowedPolicyMemberDomains 제약 조건을 업데이트하는 방법에 관한 자세한 내용은 도메인별 ID 제한 페이지를 참고하세요.
파트너가 제공하는 데이터 경계와 관련된 제한사항 및 한도를 이해해야 합니다.

새 폴더를 만듭니다.

Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.
Assured Workloads로 이동
메시지가 표시되면 조직을 선택합니다.
만들기를 클릭하여 Assured Workloads 폴더 만들기 페이지로 이동합니다.
참고: 파트너별 주권 제어는 Assured Workloads 제품이며 유사한 기능과 특징을 공유합니다.
폴더 세부정보 추가 단계에서 다음 안내를 따릅니다.
- 폴더 이름에 폴더의 고유한 이름(예: aw-my-folder-name)을 입력합니다. 폴더 이름은 길이가 4자 이상, 최대 30자(영문 기준)여야 하며 문자, 숫자, 공백, 하이픈만 포함할 수 있습니다.
  팁: Sovereign Controls by Partners용 Assured Workloads 폴더의 이름을 지정할 때 다음 사항을 고려하세요.
  - 폴더를 Assured Workloads 폴더로 식별하려면 이름에 프리픽스 (예: aw-)를 포함하세요. 이 식별자는 다른 리소스 목록에서 폴더를 찾는 데 도움이 될 수 있습니다. 기존 Assured Workloads 폴더가 있는 경우 다른 명명 규칙을 사용하여 파트너의 소버린 컨트롤 폴더를 구분하는 것이 좋습니다.
  - 폴더 이름에 민감한 정보나 개인 식별 정보 (PII)를 포함하지 마세요.
- 조직에서 폴더를 만들 조직을 선택합니다. 이 위치는 나중에 변경할 수 없습니다.
- 폴더 위치에서 폴더가 생성되는 리소스 계층 구조 위치를 선택합니다. 파트너용 주권 요구사항 제어 폴더는 조직 또는 다른 폴더의 하위 항목으로 만들 수 있습니다.
- 다음을 클릭합니다.
제어 패키지 옵션 선택 단계에서 주권 제어를 선택합니다.
드롭다운 메뉴에서 파트너 관리 솔루션을 선택합니다.
파트너가 하위 결제 계정을 만든 경우에는 해당 계정을 선택하세요.
리소스 위치 선택에서 폴더의 조직 정책에 따라 리소스 생성 및 사용을 적용할 위치를 선택합니다.
선택한 항목에 대한 세부정보를 검토하고 다음을 클릭합니다.
추가 설정 구성 단계에서는 고객 관리 암호화 키 (CMEK)에 대해 새 프로젝트 및 키링을 만들어야 합니다. 파트너의 소버린 컨트롤은 암호화 키를 자동으로 만들지 않으므로 이 단계에서는 키가 생성되지 않습니다.
참고: 키 관리 프로젝트가 생성되면 단계를 완료하여 조정된 외부 키를 만드세요. Cloud EKM용으로 조정된 외부 키를 만들 때 수동으로 생성된 키 버전은 기본 키 버전으로 자동 설정되지 않습니다. 기본 키로 설정하려면 키 순환을 참고하세요.
선택한 주권 파트너에 따라 파트너 권한 관리 단계가 추가로 표시될 수 있습니다. 이 단계에서는 파트너에게 다음 데이터에 대한 액세스 권한을 부여할 수 있습니다.
- 모니터링: 폴더에 관한 Assured Workloads 모니터링 정보를 볼 수 있는 권한이 포함됩니다. 여기에는 해결되지 않았거나 해결된 규정 준수 위반과 이러한 위반에 대해 부여한 예외가 포함됩니다.
- 액세스 투명성 및 긴급 액세스 로그: 폴더의 액세스 투명성 로그 및 긴급 액세스 로그를 볼 수 있는 권한이 포함됩니다.
- 액세스 투명성 지원 케이스 세부정보: 폴더의 액세스 투명성 로그 내에서 액세스 이유로 사용되는 추가 지원 케이스 세부정보를 포함할 권한이 포함됩니다. 이 권한이 적용되려면 액세스 투명성 및 긴급 액세스 로그 권한이 필요합니다.
- 액세스 승인 정보: 폴더의 액세스 승인 로그를 볼 수 있는 권한이 포함됩니다.
이러한 권한이 부여되거나 취소되는 방법에 대한 자세한 내용은 파트너 권한 섹션을 참고하세요.
선택을 완료한 후 다음을 클릭합니다.
폴더 검토 및 만들기 단계에서 새 Sovereign Controls by Partners 폴더에 대한 세부정보를 검토하고 올바른지 확인합니다. 그런 다음 폴더 만들기를 클릭합니다.

이 단계를 완료하면 파트너의 소버린 컨트롤에서 다음 리소스를 만듭니다.

파트너 제품을 준수하기 위해 지원되는 Google Cloud 제품에 보안 제어를 적용하는 파트너별 주권 제어 폴더입니다. 이러한 제어에는 지원되는 제품으로 리소스 사용 대상을 제한하고 허용된 위치에서만 리소스 생성 및 사용을 허용하는 조직 정책이 설정됩니다.
구성된 CMEK 키링이 포함된 CMEK 프로젝트
참고: 폴더를 만들어도 키가 자동으로 생성되지 않습니다. 폴더를 만든 후 리소스를 추가하기 전에 암호화 키를 만들어야 합니다.

파트너 권한

Assured Workloads 모니터링 및 액세스 기록 데이터에 대한 액세스 권한을 파트너에게 부여한 경우 언제든지 이 액세스 권한을 취소할 수 있습니다. 모든 유형의 데이터에 대한 액세스 권한을 부여하거나 취소하려면 다음 단계를 완료하세요.

Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.

Assured Workloads로 이동
'파트너의 소버린 컨트롤' 폴더 이름을 클릭하여 폴더의 세부정보를 확인합니다.
Assured Workloads 폴더 세부정보 페이지의 정보 파트너 권한 섹션에서 파트너 권한 구성 버튼을 클릭합니다.
파트너 권한 구성 패널에서 각 데이터 유형에 대한 권한을 부여하거나 취소하는 체크박스를 선택한 다음 저장을 클릭합니다.

선택에 따라 파트너의 이 데이터에 대한 액세스 권한이 부여되거나 취소됩니다.

모니터링

폴더의 Assured Workloads 모니터링 데이터에 대한 파트너 액세스를 사용 설정하려면 Cloud Controls Partner 서비스 에이전트에 Identity and Access Management (IAM) 역할이 부여됩니다. 모든 서비스 에이전트와 마찬가지로 Cloud Controls Partner 서비스 에이전트는 Sovereign Controls by Partners를 대신하여 작동합니다. '파트너의 소버린 컨트롤' 폴더의 IAM 정책에 표시되며 다음 이메일 형식을 사용합니다. 여기서 FOLDER_ID는 해당 폴더의 ID입니다.

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

서비스 에이전트에 폴더에 대한 Cloud Controls Partner 모니터링 서비스 에이전트(roles/cloudcontrolspartner.monitoringServiceAgent) IAM 역할이 부여됩니다. 이 역할과 권한에 대한 자세한 내용은 IAM 참조를 참고하세요.

다음 단계

파트너 관리형 KMS를 구성하는 방법 알아보기