Google Cloud를 대기업에서 사용할 때 필요한 것 - 계정

 

여러분이 만약 네이버 카페를 통해 글을 작성하고 싶다고 가정해 봅시다. 그때 제일 먼저 필요한 것은 바로 네이버 아이디이고, 아이디 생성을 위해 회원 가입을 할 것입니다. 접근하는 사용자는 보통 아이디와 패스워드 입력을 통해 '나'라는 것을 인증(Authentication)하는 과정을 거치게 됩니다. 계정을 생성하고나서 바로 카페에 글을 작성할 수 있으면 좋겠지만, 처음부터 글을 작성할 수 있는 권한이 없기 때문에 바로 글을 쓸 수는 없습니다. 

 

 

이처럼 Google Cloud를 사용하기 위해서는 계정 로그인을 통해 '지금 접근을 요청하는 사람은 누구누구이다.'라는 인증을 거쳐야 하고, 이후엔 접근할 수 있는 적절한 권한을 부여받아야 합니다. 이번 포스팅에서는 여러분이 기업 조직의 관리자라는 가정 하에, Google Cloud를 처음 사용할 때 필요한 '계정'을 만들어 조직의 사용자를 프로비저닝해보겠습니다. 

 

 

먼저, Google Cloud에서 로그인할 수 있는 계정(Account)에는 크게 2가지 유형이 있습니다.  

 

첫번째로, 일반 계정(Consumer Account)입니다.

일반 계정은 흔히 우리가 YouTube, Gmail 등의 Google 서비스를 쓸 때 사용하는 계정입니다. 비즈니스용 계정이라면 user@company.com으로 생성이 가능하고, 흔히 개인적인 용도로 사용하는 개인용 계정이라면 user@gmail.com으로 생성할 수 있습니다. 일반 계정을 이용해 Google Cloud를 사용할 수는 있지만, 조직의 계층 구조를 만들수 없고 사용자가 많다면 관리에 어려움이 있어 가급적이면 일반 계정은 추천하지 않습니다. (수명주기 제어 불가)

 

두번째는, 관리되는 사용자 계정(Managed User Account)입니다. 

관리되는 사용자 계정은 일반 계정과는 다르게 관리자가 계정을 완전히 제어할 수 있는 계정을 말하며, ‘Google Workspace’와 ‘Cloud Identity’가 있습니다.

Google Workspace(구 G-Suite)는 Google에서 제공하는 업무용 소프트웨어 도구로, Gmail, Google 드라이브, Google 캘린더, Google Docs와 같은 문서 도구 등을 제공합니다. 기업에서 선택한 요금제에 따라(사용자당 월 $6 부터) 비용을 지불해야 합니다. 

 

Cloud Identity(줄여서, Cloud ID)는 조직에서 사용자와 그룹을 중앙에서 관리할 수 있도록 제공하는 Identity 서비스입니다. Cloud ID를 사용하면, 사용자가 SSO(Single Sign On)로 쉽게 앱에 접근할 수 있으며, 다단계 인증을 제공받을 수 있습니다. 조직에서는 기업의 데이터를 안전하게 보호하는 정책을 ‘일관되게’ 적용할 수 있고, 리소스 및 사용자에 대한 ‘접근을 제어’할 수 있습니다. 또한 기존에 Microsoft Active Directory를 사용하고 있다면, 디렉터리 동기화가 가능하기 때문에 이를 통한 사용자 인증이 가능해집니다. 

(참고로, Cloud ID는 Google Workspace를 구동하는 것과 동일하게 동작하는 ID 서비스 입니다.) 

 

조직에서 Google Cloud를 사용하는 경우, 일반 계정보다는 관리되는 사용자 계정을 이용해 관리하는 것을 추천합니다. 만약, 일반 계정 사용자가 조직을 나가거나 팀이 변경되어 접근 권한을 바꾸어야 한다고 가정했을 때, 한두명이라면 관리가 가능하지만 일반 계정 사용자가 수십 명이 넘어간다면 아이디 한개씩 일일이 권한을 제어하기가 어렵기 때문입니다. 또한 Cloud ID가 아닌 일반 계정을 사용하면 Google Cloud의 리소스 계층 구조를 만들 수 없습니다. (리소스 계층 구조에 대한 내용은 다음 포스팅에서 설명합니다.) 하지만, Cloud ID를 이용하면 계정 수명 주기를 제어할 수 있으며 MFA 인증과 같은 보안 정책을 적용할 수 있어, 중앙에서 계정을 제어하고 정책을 관리하는데 있어 부담을 줄일 수가 있습니다.

 

다만, Cloud ID는 Free 버전과 Premium 버전 2가지(Premium 버전에서 추가 기능을 제공)를 제공하고 있어, 조직의 상황에 맞는 버전을 사용하기를 권고합니다. 

 

여기서 질문! Q. Cloud ID Free 버전과 Premium 버전의 차이는? Free 버전은 무료로 사용이 가능하나 50명의 사용자까지 등록이 가능합니다. Premium 버전은 1 사용자당 추가로 지불해야하며 Free 버전에서 제공하는 기능 이외에 부가 기능들을 제공합니다.   세부적인 기능적인 차이에 대한 내용은 https://support.google.com/cloudidentity/answer/7431902?hl=ko 를 참고합니다.  Q. Cloud ID와 Google Workspace와의 차이는?  Cloud ID는 Google Workspace 없이 Google Cloud 리소스를 관리하기 위한 서비스이기 때문에, Gmail을 제외한 Google 드라이브, Google Meet 등의 Google Workspace 기능들을 이용할 수 없습니다.   기존에 Google Workspace를 사용하고 있다면 해당 도메인으로 Google Cloud 사용이 가능합니다. 다만, 기존에 사용하던 Google Workspace 정책과 Google Cloud의 정책을 분리해야한다면 새로 Cloud ID를 만들어야 합니다.

 

그렇다면 여러분이 Google Cloud를 처음 도입하려는 회사의 IT 관리자라고 가정하고, Cloud ID를 생성해 사용자를 프로비저닝하는 실습을 해보겠습니다. Cloud ID 만들기에 앞서 먼저 조직의 도메인이 필요합니다.

 

필자의 경우, 기존에 구매한 cloudnativeapp.best 라는 도메인이 있기 때문에 해당 도메인으로 Cloud ID를 만들어보겠습니다. Cloud ID 생성을 테스트하고 싶다면, 도메인을 무료로 발급해주는 사이트에서 도메인을 얻습니다. (참고 : https://www.freenom.com/en/index.html?lang=en)

 

도메인을 얻은 다음 아래 URL에 접속해 본격적으로 Cloud ID를 생성합니다.  

https://workspace.google.com/signup/gcpidentity/welcome#0

 

Cloud ID 를 가입하는 새로운 창에서 회사 이름과 직원수를 선택합니다. 

 

지금 생성하는 사용자는 Cloud ID를 관리하는 ID 관리자 역할을 수행하는 ‘최고 관리자’ 가 됩니다. 이를 고려하여 값을 입력합니다.  

 

앞서 구매한 도메인 이름을 입력합니다. (다음 단계에서 도메인 인증을 거쳐야 하기 때문에 DNS 레코드 설정이 가능한, 실제 구매한 도메인 명을 입력해야 합니다.) 

 

다음은 비즈니스 이메일 주소로 사용할 사용자 이름과 비밀번호를 설정하는 단계입니다.

 

클라우드 ID 계정이 생성되었다는 화면이 나타납니다.

 

설정으로 이동하여 아래와 같이 계정을 설정하는 단계를 시작합니다. 

 

자동으로 Google Admin 콘솔로 이동하게 됩니다. 1단계 ‘보호’를 수행합니다.

 

위에서 기입한 도메인 이름이 실제로 내 도메인인지 인증이 필요하다는 안내창을 확인할 수 있습니다. 

 

 

도메인 인증을 위해서는 구매한 도메인 등록기관에서 DNS 레코드 설정 변경이 필요합니다. 필자의 경우 도메인을 whois에서 구매했기 때문에, 해당 사이트에서 DNS 레코드 설정을 해보겠습니다. 

 

 

인증 레코드를 추가한 후 Google Admin 콘솔로 돌아와 다음 단계로 넘어갑니다. 도메인 인증에는 최대 5분이 소요되며, 인증이 완료되면 아래와 같은 화면이 나타납니다. 

 

계속해서 아래 ‘만들기’ 를 클릭해, 이제 cloudnative.best 조직에 신규 사용자를 생성하겠습니다. 

 

앞으로 사용자를 새로 만들고 삭제하는 등 Cloud ID 프로비저닝과 관련한 설정은 해당 Google Admin 콘솔에서 진행합니다.  

 

이제 홍길동 이라는 가상의 사용자를 팀에 추가해 보겠습니다. 사용자 이름과 사용자가 앞으로 Google Cloud 콘솔에 로그인 할 때 사용할 이메일 주소를 기입합니다. 신규 사용자에게 최초 로그인하기 위한 안내를 하려면 ‘보조 이메일’ 주소를 추가로 입력합니다.

 

새 사용자 추가 후 아래처럼 임의의 비밀번호가 자동으로 생성됩니다. 정상적으로 계정이 생성되었는지 테스트하기 위해 시크릿 창을 열어 로그인해보겠습니다. 

 

정상적으로 hong 사용자 로그인이 되며, 보안을 위해 비밀번호를 변경하라는 문구가 나타납니다. 

홍길동 계정으로 로그인하고나면, Google Admin 콘솔 창에서 마지막 로그인 시간이 업데이트된 것을 확인할 수 있습니다. 

 

여기서 질문! Q. Google Cloud 콘솔(https://console.cloud.google.com)과 Google Admin 콘솔(https://admin.google.com)은 다른 것인가요? 네, 두개는 각각 다른 콘솔입니다.  Google Admin 콘솔은 Google Workspace 서비스를 (Cloud ID 포함) 관리할 수 있는 중앙 공간이라고 할 수 있습니다. 사용자 계정을 관리하거나, 그룹을 만들거나, 관리자에 대한 설정을 할 수 있습니다.  Google Cloud 콘솔은 애플리케이션, 서비스를 개발, 배포하는 등 클라우드 애플리케이션 리소스에 대한 모든 것을 이곳에서 관리할 수 있습니다.  사용자 계정에 대한 설정은 Google Admin 콘솔에서 진행하면 되며, 사용자 계정이 실제 Google Cloud 리소스에 접근할 수 있도록 권한을 주기 위해서는 Google Cloud 콘솔에서 수행하게 됩니다.

 

여기까지 Google Cloud를 Enterprise 환경에서 처음 시작하는 데 필요한 ‘계정’ 설정을 마쳤습니다. 요약하면, Cloud ID를 사용하면 많은 사용자들을 일괄로 빠르게 업데이트하는 등 중앙에서 관리가 가능하다는 장점이 있다는 것인데요. 오늘 주제는 ‘계정’이다보니, Google Cloud 콘솔 보다는 Google Admin 콘솔에 익숙해졌을 것이라 생각합니다. 

 

Google Cloud는 클라우드 리소스를 잘 관리하기 위해 ‘조직- 폴더- 프로젝트’ 와 같은 계층 구조를 가지고 있습니다. 다음 포스팅에서는 본격적으로 Google Cloud 콘솔을 훑어 보고, 기업에서 실제 클라우드 리소스를 어떻게 관리하는 지 ‘계층 구조’에 대해 알아보도록 하겠습니다.