Module Introduction
1. IAM
- Google Cloud ID 및 액세스 관리를 사용.
- IM 또는 IAM 이라고도 하며 누가 무엇을 할 수 있는지 제어.
- 선택한 여러 인터페이스를 사용하여 연결.
2. Project
- GCP에서 사용하는 리소스를 구성하는 주요 방법.
- 관련 리소스를 그룹화. 일반적으로 공통된 비즈니스 목표가 있기 때문.
모든 GCP 리소스는 프로젝트에 속한다. 프로젝트는 청구 활성화 및 추가 및 제거, API 관리와 같은 GCP 서비스를 활성화하고 사용하기 위한 기초이다. 각 프로젝트는 별도의 구획이며 각 리소스는 정확히 하나에 속한다. 프로젝트에는 다른 소유자와 사용자가 있을 수 있다. 별도로 구축되며 별도로 관리된다.
- 각 GCP의 프로젝트에는 사용자가 할당하는 이름과 프로젝트 ID가 있음.
- 프로젝트 ID는 영구적이고 변경할 수 없는 식별자이며 GCP에서 고유해야 함.
- 반면에, 프로젝트 이름은 편의를 위한 것이며 지정할 수 있다.
3. The principle of least privilege(최소 권한의 원칙)
- Cloud 혹은 On-premises 든지 어떤 종류의 Compute Infrastructure를 관리하는 데에 매우 중요.
- 각 사용자가 업무를 수행하는 데에 필요한 권한만 있다.
- 최소 권한 환경에서 사람들은 전체 등급의 오류로부터 보호된다.
- 예를들어, 사고로 데이터베이스를 삭제하는 등 루트 사용자 권한으로 해서는 안되는 시스템에서의 작업을 진행하지 않도록 한다.
구글에서는 Infrastructure의 보안을 책임진다. 사용자는 자신의 데이터를 보호할 책임이 있다.
4. GCP의 관리 레이어와 상호 작용하는 방법
(1) Web-based Console
(2) SDK
(3) Command line tools
(4) API 및 모바일 앱.
5. GCP 리소스 계층
아래에서 위로 GCP 리소스 계층 구조를 이해하는 것이 가장 쉽다. 사용하는 모든 리소스, 가상 머신이든 클라우드 스토리지 버킷이든 테이블과 큰 쿼리 또는 GCP의 다른 모든 것이 프로젝트로 구성된다. 선택적으로 이러한 프로젝트는 폴더로 구성될 수 있다. 폴더에는 다른 폴더가 포함될 수 있다.
- 정책은 계층 구조에서 아래쪽으로 상속된다는 점을 기억해야 한다.
[ Folder ]
반드시 필요한 것은 아니지만 프로젝트를 폴더로 구성할 수 있다. 폴더를 사용하여 조직 안의 여러 부서, 팀를 나타낼 수 있으며, 폴더를 통해 팀은 관리 권한을 위임할 수 있다.
폴더의 리소스는 폴더에서 IAM 정책을 상속한다. 따라서 프로젝트 3과 4가 동일한 팀에서 설계하여 관리한다면, 폴더 B에 IAM 정책을 넣을 수 있다. 폴더의 정책의 복제본을 프로젝트 3과 프로젝트4에 넣는다면 오류가 발생할 수 있다.
폴더를 사용하려면 계층 구조의 맨 위에 조직 노드가 필요하다. 자원이 사용되는 방식과 정책을 중앙에서 적용한다. 그것이 조직 노드의 목적이다.
조직 노드는 어떻게 얻는가? G Suite 도메인이 있는 경우 GCP 프로젝트는 자동으로 조직 노드에 속한다. 그렇지 않으면 Google Cloud ID를 사용하여 만들 수 있다.
모든 폴더, 리소스는 상위 리소스의 정책을 상속한다. 예를 들어 조직 수준에서 정책을 설정하면 모든 하위 프로젝트에서 자동으로 상속된다. 그리고 해당 프로젝트의 모든 리소스도 정책을 상속한다.
[ Questions ]
