https://services.google.com/fh/files/misc/google-cloud-security-foundations-guide.pdf
리소스 매니저
- 리소스 매니저는 클라우드 플랫폼 자원들을 관리하기 위한 계층적 그룹 구성 기능 제공
- 상속모델을 이용한 IAM 권한과 보안 통제를 적용할 때 효율적인 관리가 주요 목적
- 세 가지 주요 리소스 컨테이너 관리:
- 조직(An Organization)
- 폴더(Folders)
- GCP 프로젝트(GCP Projects)
리소스 매니저: 조직 (Organizations)
- 조직은 모든 GCP 리소스의 루트 노드. Workspace 또는 Cloud Identity 계정은 정확히 하나의 조직에 연결
- 전체 클라우드 리소스 계층 구조에 조직 규모 보안/거버넌스의 정책 허용
- 공유 네트워크, 단일 (또는 적은) 빌링 계정과 리소스들의 통합된 가시성 등, 이러한 기능은 위험과 관리 복잡도 감소
리소스 매니저: 프로젝트(Projects)
- 프로젝트는 GCP 조직의 기본 수준이며 자원들의 논리적인 그룹
- 클라우드 자원 (예. 가상머신, 디스크, 네트워크, 빅쿼리 테이블)은 프로젝트에 배포
- 프로젝트는 글로벌(Global) 자원
- 프로젝트는 자원과 할당량 사용 현황을 지속적으로 추적:
- 서비스와 API 활성화
- 자원 할당량 적용
- 사용료 부과 및 환불 처리
- 프로젝트 수준의 IAM 권한
리소스 매니저: 폴더 (Folders)
- 폴더는 동일한 요구사항, 환경, 팀 등을 공유하는 프로젝트들의 추가 그룹핑 메커니즘을 제공
- 폴더는 IAM의 정책 상속 지점과 여러 프로젝트에 적용되는 조직 정책으로 동작함으로써 보안 거버넌스를 효율적으로 운영 가능
- 폴더는 프로젝트와 폴더(10 수준 단계와 300개 상위) 또는 두 조합 모두 포함 가능
요약
Your company's Chief Information Security Officer (CISO) creates a requirement that business data must be stored in specific locations due to regulatory requirements that affect the company's global expansion plans. After working on the details to implement this requirement, you determine the following:
✑ The services in scope are included in the Google Cloud Data Residency Terms.
✑ The business data remains within specific locations under the same organization.
✑ The folder structure can contain multiple data residency locations.
You plan to use the Resource Location Restriction organization policy constraint. At which level in the resource hierarchy should you set the constraint?
C. Project
