[GCP]GCP 에서 조직(Organization) 활용하기 1부 — Cloud Identity
안녕하세요 이정운 입니다.
Google Cloud 가 타 Cloud 와 가장 다른 점 중의 하나이며 타 Cloud 를 사용하는 개발자 분들이 처음 접했을 때 가장 혼동을 느끼는 개념중의 하나가 자원이 User 기반이 아니라 프로젝트 기반이며 조직(Organiztion) 이라는 구성을 가지고 있다는 점입니다. 특히나 조직에 대해서는 생소하신 분들이 많은데 GCP 리소스는 단순하게 프로젝트 단독으로도 사용 가능하지만 기업환경에 적합하게 설계되어 필요한 경우 기업의 조직구조와 동일하게 계층적으로 구성하는 것이 가능합니다. 이러한 계층 구조를 통해 기업의 운영 구조를 GCP에 매핑 가능하며 관련 리소스 그룹에 대한 액세스 제어 및 권한을 체계적으로 관리할 수 있습니다. (하단의 다이어그램을 통해 계층 구조의 예시를 보실 수 있습니다.)
기업 조직을 위한 권장사항
https://cloud.google.com/docs/enterprise/best-practices-for-enterprise-organizations?hl=ko
일반적인 개발이나 테스트 프로젝트의 경우 상단과 같이 조직 구성까지는 필요 없겠지만 기업환경이나 엔터프라이즈 환경에서의 좀 더 체계적인 관리를 위해서는 조직 구성이 필요하며 이를 통해서 좀 더 효율적인 관리가 가능하도록 지원합니다. 또한, 구글의 G Suite 을 이미 사용하는 기업은 이와 연계하여 사용자 관리나 권한관리를 보다 쉽게 수행할 수 있도록 지원합니다.
리소스 계층 구조
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy
리소스 계층 구조나 조직에 대해서는 많은 글들이 이미 공유되어 있고 하단과 같이 Youtube 에도 좋은 영상이 많으니 좀 더 자세한 사항이 궁금하신 분들은 이를 참고하시기 바랍니다.
Best Practices: GCP Resource Organization and Access Management (Cloud Next ‘19)
https://www.youtube.com/watch?v=tNG4RUpBUso
사설이 길었습니다만, 오늘 다룰 이야기는 G Suite 이 없는 경우에 GCP 에서 조직을 활용해볼 수 있는 방법입니다. 기 언급한 것처럼 조직을 사용해서 구성을 하고 리소스 계층 구조를 가지게 되면 다양한 장점이 있는데, G Suite 을 필수로 오해하시거나 조직이 필요하지만 사용하지 않는 분들이 있습니다. 그러나 GCP는 인증 및 액세스 관리에 Google 계정을 사용하며 이는 다시 말씀드리면, G Suite 이 없이도 Google Cloud 에서 무료로 제공하는 Cloud Identity 를 통해서도 조직 구성이 가능합니다.
Cloud Identity 는 기능에 따라 다르긴 하지만 Free edition 을 제공하며 Identity 서비스 및 엔드포인트 관리 서비스를 제공하고 Gmail 및 Google 캘린더와 같은 특정 G Suite 서비스가 필요하지 않은 사용자에게 관리 Google 계정을 제공합니다.
What is Cloud Identity?
https://support.google.com/cloudidentity/answer/7319251?visit_id=637200201464497146-4151236367&rd=1&hl=en
그럼 실제 테스트를 통해서 어떻게 Cloud Identity 를 활용해서 조직 구성을 하고 사용할 수 있는지 직접 테스트 해보면서 살펴볼까요?
#1) Cloud Identity 신청
Cloud Identity 를 사용하려면 신청작업을 먼저 수행해야 합니다. 이미 Google Cloud 를 사용하시는 분이라면 하단과 같이 관리콘솔 화면에서 “IAM 및 관리자 > ID 및 조직” 메뉴에서 신청할 수 있습니다.
또는, GCP 가입 없이 하단의 링크를 통해서도 바로 신청 가능합니다. 여기서는 바로 신청하는 형태로 진행해보도록 하겠습니다.
Cloud Identity Register
https://gsuite.google.com/signup/gcpidentity/welcome
Next 를 클릭하면 간단하게 비니지스 정보를 수집하는 화면이 나와서 적당히 입력하면 됩니다.
다음으로 현재 사용중인 email 주소를 입력하고 비니지스 도메인을 입력하면 됩니다. 여기서 중요한게 비지니스 도메인인데 abc.com 과 같은 회사에서 사용되는 도메인 주소를 의미합니다. 이해를 명확하게 하기 위해서 조금 더 보충 설명을 하자면 회사의 email 을 위해서 사용되는 도메인 주소를 의미하며 실제 GCP 에서 구축 및 서비스하고자하는 도메인 주소를 의미하지는 않습니다.(향후 ‘사용자명@도메인주소(def@abc.com)’ 가 GCP 입장에서 사용자를 구분할 수 있는 ID 가 되며 해당 ID 로 필요시 email 커뮤니케이션이 됩니다.) GCP 의 조직은 루트를 이 도메인으로 사용하며 조직을 대표하는 최상단의 이름이 abc.com 과 같은 도메인 이름이 됩니다.
다음으로 이름과 실제 Cloud Identity 로 로그인할 admin 의 ID/Password 를 입력합니다. 보시면 아시겠지만 ID 는 이전에 입력한 비지니스 도메인으로 시작하는 email 주소 형태입니다. 이외에 추가적인 정보를 몇가지 더 넣으면 무사히 Cloud Identity 를 생성하실 수 있습니다.
그러면 기존에 입력했던 email 주소로 하단과 같이 Cloud Identity 가 정상적으로 만들어졌다고 완료 메일을 받을 수 있습니다.
이전 메뉴에서 Setup 버튼을 클릭하면 Cloud Identity 세부 설정 화면으로 바로 진입 가능합니다. 여기서 가장 중요한 포인트는 비지니스 도메인의 소유여부를 확인한다는 점입니다. 즉, abc.com 이 본인이 소유한 정상적인 도메인인지 확인하는 절차를 거치게 됩니다.
하단에 보시는 것과 같이 도메인을 검증하기 위한 절차를 step-by-step 으로 친절하게 가이드 하고 있습니다.
이러한 도메인 검증작업에서 가장 중요한 부분은 하단의 도메인 소유 검증 단계 부분인데, 도메인 정보에 CNAME 이나 txt 를 선택하고 가이드에서 지정된 값을 추가해주어야 합니다.
예를들어, CNAME 을 선택했다면 하단과 같이 도메인 등록 업체를 통해서 지정된 도메인 별칭과 실제 도메인명을 추가해줍니다. (도메인 정보에 대한 반영은 일반적으로 30분~1시간 정도 소요됩니다.)
이렇게 확인을 위한 추가정보를 도메인에 반영하고 나머지 단계를 진행하면 시간이 좀 소요되지만 도메인 소유 검증작업이 끝났다는 메시지를 확인할 수 있습니다.
도메인 검증 작업이 끝나면 필요시 admin 이외에 추가적으로 사용할 사용자를 추가 할 수도 있습니다. (사용자 추가시 초대 메일을 다른 메일주소로 보내는 것이 가능합니다.)
이렇게 하면 Cloud Identity 생성 및 설정 작업이 모두 완료된 것입니다.
#2) GCP 에서 등록한 조직 확인
Cloud Identity 생성 완료 후에 GCP 관리콘솔(cloud.google.com/console)로 접속하면 일반적으로 GCP 처음 접속했을 때와 동일한 Welcome 화면을 확인 가능합니다.
이후 GCP 관리콘솔의 왼쪽 상단에 프로젝트 선택하는 메뉴를 클릭하면 비지니스 도메인으로 등록한 조직을 선택할 수 있는 것을 확인 가능합니다.
방금 생성한 조직 선택 후에 “IAM 및 관리자 > ID 및 조직” 메뉴로 들어가보면 이전과 다르게 권한 설정이나 조직 설정과 같은 추가 기능들이 활성화 된 것을 확인하실 수 있습니다.
예를 들어 ‘권한 설정’ 버튼을 클릭하면 IAM 메뉴로 이동하며 권한을 추가하거나 삭제하는 것이 가능합니다.
필요하다면 admin 에게 조직 관리자 권한 뿐만 아니라 폴더 관리자나 프로젝트 소유자 권한도 하단과 같이 바로 추가할 수 있습니다.
조직을 사용했을 경우에는 관리적인 포인트의 장점 외에도 다양한 기능적인 장점이 있는데, 예를 들어 권한 부여후 관리콘솔에서 “보안 > 보안센터” 메뉴를 클릭하면 Org 내의 자원과 보안 항목에 대한 대시보드를 이용하실 수 있습니다. (보안센터의 경우에는 조직이 있어야지만 활성화되는 기능이며 나중에 시간이 되면 이러한 부분은 좀 더 자세히 다뤄보도록 하겠습니다.)
Disclaimer: 본 글의 작성자는 Google 직원이지만 Google cloud 를 공부하는 한 개인으로서 작성된 글입니다. 본 글의 내용, 입장은 Google 을 대변하지 않으며 Google 이 해당 콘텐츠를 보장하지 않습니다.
