범위가 지정된 정책은 전체 조직에 적용할 수 있는 액세스 정책과 함께 특정 폴더나 프로젝트로 범위가 지정된 액세스 정책입니다. 범위가 지정된 정책을 사용하여 VPC 서비스 제어 경계 및 액세스 수준의 관리를 폴더 수준 관리자와 프로젝트 수준 관리자에게 위임할 수 있습니다.
조직은 조직 수준의 액세스 정책을 하나만 가질 수 있으며 조직 수준 액세스 정책을 조직의 모든 폴더나 프로젝트에 적용할 수 있습니다.
폴더와 같은 조직 리소스의 하위 집합에 대한 정책 관리를 위임된 관리자에게 위임하려는 경우가 있을 수 있습니다. 전체 조직에 적용할 수 있는 액세스 정책과 함께 특정 폴더나 프로젝트로 범위가 지정된 액세스 정책을 만들 수 있습니다. VPC 서비스 제어 경계와 액세스 수준의 관리를 폴더 수준 관리자와 프로젝트 수준 관리자에게 위임하려면 범위가 지정된 정책을 사용하면 됩니다.
범위가 지정된 정책 관리를 위임하면 위임된 관리자가 조직의 Access Context Manager 정책이 아닌 특정 정책을 수정하거나 읽을 수 있습니다. 범위가 지정된 정책은 VPC 서비스 제어 경계에서 제한할 수 있는 리소스와 액세스 수준 공개 상태를 제한합니다.
범위가 지정된 정책 관리
조직 수준 Access Context Manager 관리자는 범위가 지정된 정책을 생성, 수정, 삭제할 수 있습니다. Access Context Manager 정책에서 Identity and Access Management(IAM) binding을 직접 지정하고 Access Context Manager 정책 관리를 조직 내 다른 사용자에게 위임할 수 있습니다. 범위가 지정된 정책 관리자는 정책에서 서비스 경계와 액세스 수준을 구성할 수 있습니다. 하지만 범위가 지정된 정책 관리자는 새 정책을 만들거나 다른 폴더나 프로젝트에 적용할 정책 범위를 변경할 수 없습니다.
다음은 관리자가 범위가 지정된 정책을 관리하는 방법의 순서입니다.
조직 수준 관리자는 특정 폴더나 프로젝트를 참조하는 범위 필드가 있는 새 액세스 정책을 만듭니다.
조직 수준 관리자는 액세스 정책 리소스에서 위임된 관리자에게 IAM 권한을 직접 할당합니다. 이제 위임된 관리자에게는 범위가 지정된 정책에 대한 권한이 있지만 조직 수준 관리자가 위임된 관리자에게 권한을 명시적으로 할당하지 않으면 다른 정책에 대한 권한은 없습니다.
이제 위임된 관리자는 정책을 수정하여 액세스 수준과 서비스 경계를 구성할 수 있습니다. 위임된 관리자는 해당 정책에 대한 IAM 권한을 다른 사용자에게 부여할 수도 있습니다.
폴더나 프로젝트를 삭제하면 삭제된 폴더나 프로젝트가 있는 정책과 해당 범위도 삭제됩니다. 또한 프로젝트를 조직 계층 구조의 다른 노드로 이동해도 프로젝트로 범위가 지정된 정책은 자동으로 수정되지 않습니다. 프로젝트와 연결된 정책을 삭제한 후 정책을 다시 만들고 범위를 지정해야 합니다.
범위가 지정된 정책 계층 구조
조직 리소스는 Google Cloud 리소스 계층 구조의 루트 노드이며 조직에 속하는 모든 리소스는 조직 노드의 하위 요소로 존재합니다. 폴더는 프로젝트 기반의 그룹화 메커니즘입니다. 폴더와 프로젝트는 조직 리소스의 하위 노드로 존재합니다.
다음 다이어그램에서는 각 부서의 폴더가 포함된 조직 예시를 보여줍니다. 폴더에는 개발, 테스트, 프로덕션 프로젝트가 포함되어 있습니다.
예시 조직에서 다음 제약조건은 범위가 지정된 정책의 서비스 경계나 액세스 수준에 적용됩니다.
범위가 지정된 정책의 서비스 경계는 해당 정책 범위에 있는 리소스만 제한할 수 있습니다. 예를 들어 engineering 폴더로 범위가 지정된 정책의 서비스 경계는 프로젝트가 engineering 폴더에 있으므로 example-dev, example-prod, example-test 프로젝트를 보호할 수 있습니다.
범위가 지정된 정책이 sales 폴더에 적용되면 해당 정책의 서비스 경계는 example-dev, example-prod, example-test 프로젝트를 보호할 수 없습니다. 그러나 인그레스 및 이그레스 규칙을 사용하면 범위가 지정된 정책의 서비스 경계에서 다른 폴더의 프로젝트에 액세스할 수 있습니다.
정책 범위 내에서만 범위가 지정된 정책의 액세스 수준을 볼 수 있습니다. engineering 폴더로 범위가 지정된 정책에 액세스 수준을 만드는 경우 engineering 폴더의 서비스 경계와 액세스 수준에서만 사용할 수 있습니다. 다른 폴더의 서비스 경계와 액세스 수준은 engineering 폴더에 정의된 액세스 수준을 사용할 수 없습니다.
example.com 조직 리소스 계층 구조의 폴더와 같은 위치에는 액세스 수준이나 서비스 경계가 포함된 정책이 여러 개 있을 수 있습니다. 정책이 여러 개 있으면 example.com 조직의 리소스 요청은 다음 규칙에 따라 평가됩니다.
정책 하나에는 폴더와 같은 범위 하나만 포함될 수 있지만 조직의 각 수준에 대한 정책을 만들 수 있습니다. 예를 들어 정책 1의 범위가 engineering 폴더인 경우 engineering 폴더를 다른 정책의 범위로 설정할 수 없습니다. example-prod와 같이 engineering 폴더의 하위 요소로 설정된 범위를 사용하여 다른 정책을 설정할 수 있습니다.
정책 범위가 프로젝트나 프로젝트 상위 요소에 적용되면 프로젝트를 정책에 추가할 수 있습니다. 그러나 프로젝트는 모든 정책에서 서비스 경계 하나에만 속할 수 있습니다. 예를 들어 범위가 example.com 조직으로 설정된 정책은 example-dev를 사용하여 서비스 경계를 정의할 수 있습니다. 범위가 engineering 폴더나 example-dev 프로젝트로 설정된 정책은 example-dev 프로젝트를 두 프로젝트 중 하나에서 정의된 경계에 추가할 수 있습니다. 그러나 이 세 가지 정책 중 하나만 이 프로젝트를 포함할 수 있습니다.