[GCP]Gmail id 없이 Google cloud 사용하고 G Suite 없이 사용자, 그룹 관리 하기
안녕하세요 이정운 입니다.
처음에 Google cloud 를 사용할 때 gmail id 가 있어서 그런지 모르겠지만 저는 Google cloud 를 사용할 때는 당연히 gmail id 가 필수 조건인지 알았습니다. 또한, Google cloud 에서 프로젝트 관리랑 그룹, 사용자 관리같은 기능이 있지만 개인 id 이기 때문에 당연히 이런 것은 쓸 수 없고 내가 이를 위해서는 기업과 같이 G Suite 를 사용해야만 할 수 있을거라 판단했습니다.
그러나 GCP 를 요즘 조금 공부해보니 그게 아니더라구요.
간단히만 언급드리면 Google cloud 는 어떤 email id 로도 다 가입이 가능하며(필요한 것은 Google 계정이지 gmail id 가 아닙니다.) G Suite 를 별도로 구매하지 않았어도 도메인만 소유하고 있다면 그 도메인을 통해서 Cloud ID 를 만들어서 그룹을 만들고 사용자를 관리하는 것이 가능합니다. 예를들어 기업에서 팀이나 부서별로 프로젝트를 나누어주거나 하나의 프로젝트에 여러 사용자가 동시에 작업이 가능하면서도 관리자가 통제할 수 있습니다. 이걸 말로만 설명드리는 것이 아니라 한번 보여드리면 좋을 것 같아서 이번에 공유할 이야기의 주제는 ‘Gmail id 없이 Google cloud 사용하고 G Suite 없이 사용자, 그룹 관리 하기’ 입니다.
늘 그렇지만 하단의 링크와 같이 다양한 자료를 참고하였습니다.
What is Cloud identity?
https://support.google.com/cloudidentity/answer/7319251
Google Cloud identity and Access Management Documentation
https://cloud.google.com/iam/docs/
Resource Hierarchy
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy
#1) Gmail id 없이 Google cloud 사용
먼저, Google cloud 는 gmail id 가 필요한 것이 아니라 Google 계정이 필요합니다. 그럼 Google 계정을 만들어야 하는데 Google 계정은 메일이 없는 경우에 gmail 을 자동으로 생성해주며 다른 메일이 있는 경우 다른 메일로 Google 계정을 만들 수 있습니다. (사실 이 부분을 저도 놓쳐서 gmail 이 필수인지 알았습니다)
https://accounts.google.com/SignUp?hl=ko
상단의 링크에서 Google 계정을 만들때 보면 ‘대신 현재 이메일 주소 사용’ 이라는 구문이 있습니다. 이것을 클릭하면 기존 가지고 계시는 email 을 입력할 수 있으며 이를 통해서 Google 계정을 생성할 수 있습니다. 해보시면 아시겠지만 하단처첨 본인 email 주소를 넣을수 있도록 되어 있습니다.
그리고 기존 email 에 소유 여부를 확인하기 위하여 6자리 숫자 인증 코드를 보내서 그것을 확인하면 간단하게 본인이 가지고 있는 email 을 통해서 Google 계정 가입 절차가 완료됩니다.
이제 Google 계정을 만들었으니 원래 목적인 Google cloud 를 사용하기 위해서 가입을 해봐야겠죠? 하단과 같이 cloud.google.com 에 들어가서 ‘무료로 사용해 보기’ 를 선택합니다.
그리고 방금 Google 계정을 만들었던 email 주소를 하단과 같이 넣어주고 다음을 선택하면 됩니다.
그럼 Google Cloud Platform 무료 가입 단계로 들어가지며 여기에서 가입에 필요한 정보를 입력하면 됩니다. (신용카드 정보 포함) 오른쪽 화면에도 언급되어 있지만 Google cloud 는 계정에 대한 업그레이드에 동의하지 않는 이상 결제나 자동청구를 통해서 과금되지 않습니다. 이를 다시 말하면, 무료로 사용하다가 의도치않게 $300 크레딧을 다 소비하거나 free tier 가 넘어가서 엄청난 과금이 나올 걱정은 안하시고 마음껏 테스트해 볼 수 있다라는 이야기 입니다.
필요한 정보들을 넣고 가입을 완료하면 하단과 같이 Google Cloud Platform 에 정상적으로 가입된 것을 확인할 수 있으며 이제 300$ 의 무료 크레딧을 이용해서 다양한 테스트를 해보실 수 있습니다. (가입 완료 시점에 본인 확인을 위해서 신용카드로 $1 해외 승인/취소가 일어납니다. 또한, 화면에서도 다시 한번 강조하지만 ‘동의 없이는 요금이 청구되지 않습니다.’)
#2) G Suite 없이 그룹 관리, 사용자 관리 — Cloud ID(identity)
개인적으로 프로젝트를 만들고 사용했을 경우에는 크게 고민하지 않지만 스타트업이나 기업의 경우 G Suite 는 별도로 구매하고 싶지 않지만 다양한 사용자, 그룹을 위하여 GCP 에 대한 그룹 관리, 사용자 관리등의 다양한 관리 기능등을 추가하여 좀 더 회사 규모에 맞게 활용하고 싶을 수 있습니다. 그리고 하단과 같이 GCP 도 다양한 기업의 요구사항에 이미 맞추어져 자원에 대해서 계층적 구조를 가지고 있습니다. 이를 통해서 부서나 팀, 개인 단위로 자원을 분배하거나 제어하는 것이 가능합니다.
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy
이부분이 저도 그렇고 많은 분들이 오해하는게 GSuite 없이는 불가능하다라고 생각했었는데, 그건 아니고 보유하고 있는 도메인을 기반으로 Cloud ID 를 생성한다면 이를 통해 그룹 관리, 사용자 관리등을 GCP 에서 문제없이 수행할 수 있습니다.
그럼 말이 아니라 이를 직접 해보기 위하여 GCP 관리 콘솔에서 IAM 및 관리자 > ID 로 가서 하단과 같이 Cloud ID 를 신청해보도록 하겠습니다.
GCP 관리를 위한 Cloud ID 생성을 위해서 필요한 정보를 넣고 다음을 선택합니다.
그러면 Cloud ID 을 위한 도메인(abc.co.kr)이 필요한데 소유하고 있는 도메인을 넣어주면 됩니다. (저는 테스트로 제가 보유한 freejava.co.kr 을 넣었습니다.)
마지막으로 Cloud ID 계정에 필요한 정보를 넣어주고 ‘동의 및 가입’을 클릭하면 됩니다.
다음으로 가장 중요한 Cloud ID 설정 마법사 화면으로 들어와서 결국은 도메인 소유권을 확인하는 작업을 수행해야 합니다. (아무나 아무 도메인을 점유하거나 사용해서는 안되겠죠.)
도메인 소유권을 확인하는 방법을 보시면 아시겠지만 도메인 관리 업체를 통해서 도메인에 TXT record 를 추가하거나 지정된 CNAME 값을 추가하면 됩니다.
해당 작업을 수행하고 일정 시간이 지나면(최대 24시간 정도라고는 하는데 저는 30분정도 걸렸습니다) 하단과 같이 도메인 소유권 확인 완료 메시지를 확인할 수 있습니다.
그러면 하단과 같이 Cloud ID 에 원하는 사용자 계정을 추가하거나 ‘다음’을 선택하여 설정을 완료하면 됩니다.
이렇게 작업을 완료한 후 다시 관리콘솔에 Cloud ID 관련 메뉴로 가보면 하단과 같이 메뉴가 변경되어 있는 것을 확인할 수 있으며 추가적으로 사용자 관리, 그룹 관리라는 메뉴를 확인 가능합니다.
따라서 관리자로 지정된 경우라면 하단과 같이 사용자를 추가하실 수 있으며 필요에 따라서는 GCP 프로젝트를 공유해서 사용하는 것도 가능합니다. 또는 여러 프로젝트를 만들어서 각각 사용자에게 배정해 줄수도 있겠죠.
Cloud ID 의 가장 큰 장점 중의 하나는 그룹 관리 입니다. 내가 원하는 형태로 그룹을 만들 수 있습니다. 그러면 그룹은 Google Group 과 동일하게 별도의 email 주소를 받게 됩니다.
당연히 해당 그룹에 원하는 사용자를 추가하거나 삭제하는 것도 가능합니다.
보다 더 중요한 포인트는 GCP 의 IAM 을 통해서 권한을 부여할 때 이렇게 만들어진 그룹에게 권한을 부여 할 수 있으므로 보다 더 안전하고 유연하지만 높은 제어권을 제공 할 수 있습니다.
마지막으로 GCP 관점에서 좀 더 자세한 계정, 권한 및 조직 관리에 대해서 궁금하신 분들은 이미 정명훈님이 좋은 자료를 공유해 주셔서 해당 자료를 참고하시면 좋을 듯 합니다.
Google Cloud IAM 계정, 권한 및 조직 관리
https://www.slideshare.net/JerryJeong2/google-cloud-iam
* Disclaimer: 본 글의 작성자는 Google 직원이지만 Google cloud 를 공부하는 한 개인으로서 작성된 글입니다. 본 글의 내용, 입장은 Google 을 대변하지 않으며 Google 이 해당 콘텐츠를 보장하지 않습니다.
