사전 정의된 조직 정책 사용

이 페이지에서는 PostgreSQL용 AlloyDB 클러스터 및 백업에 사전 정의된 조직 정책을 추가하는 방법을 설명합니다. 이를 통해 프로젝트, 폴더 또는 조직 수준에서 AlloyDB에 제한사항을 적용할 수 있습니다.

고객 관리 암호화 키 (CMEK) 조직 정책

CMEK 조직 정책을 사용하여 AlloyDB 클러스터 및 백업의 CMEK 설정을 제어할 수 있습니다. 이 정책을 사용하면 데이터를 보호하는 데 사용하는 Cloud KMS 키를 제어할 수 있습니다.

AlloyDB는 조직 전반에서 CMEK 보호를 보장하는 두 가지 조직 정책 제약조건을 지원합니다.

  • constraints/gcp.restrictNonCmekServices: alloydb.googleapis.com에 대한 CMEK 보호가 필요합니다. 이 제약조건을 추가하고 alloydb.googleapis.com을 서비스의 Deny 정책 목록에 추가하면 CMEK로 사용 설정되지 않은 한 AlloyDB에서 새 클러스터 또는 백업 만들기를 거부합니다.
  • constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB 클러스터 및 백업에서 CMEK 보호에 사용할 수 있는 Cloud KMS CryptoKey를 제한합니다. 이 제약조건을 사용할 경우 AlloyDB가 CMEK로 새 클러스터 또는 백업을 만들 때 CryptoKey가 허용된 프로젝트, 폴더, 조직에서 시작되어야 합니다.

이러한 제약조건은 새로 만든 AlloyDB 클러스터 및 백업에서만 적용됩니다.

자세한 개요 정보는 CMEK 조직 정책을 참조하세요. CMEK 조직 정책 제약조건에 대한 자세한 내용은 조직 정책 제약조건을 참조하세요.

시작하기 전에

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. To initialize the gcloud CLI, run the following command: 

    gcloud init

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.

  9. To initialize the gcloud CLI, run the following command: 

    gcloud init
  10. IAM 및 관리자 페이지에서 사용자 또는 서비스 계정에 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)을 추가합니다.

    IAM 계정 페이지로 이동

CMEK 조직 정책 추가

CMEK 조직 정책을 추가하려면 다음 단계를 따르세요.

  1. 조직 정책 페이지로 이동합니다.

    조직 정책 페이지로 이동

  2. Google Cloud 콘솔 메뉴 바의 드롭다운을 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.

  3. constraints/gcp.restrictNonCmekServices를 설정하려면 다음 단계를 따르세요.

    1. ID: constraints/gcp.restrictNonCmekServices 또는 Name: Restrict which services may create resources without CMEK를 사용하여 제약조건을 필터링합니다.
    2. 제약조건 이름을 클릭합니다.
    3. 수정을 클릭합니다.
    4. 맞춤설정을 클릭합니다.
    5. 규칙 추가를 클릭합니다.
    6. 정책 값에서 커스텀을 클릭합니다.
    7. 정책 유형에서 거부를 선택합니다.
    8. 커스텀 값 아래에 alloydb.googleapis.com을 입력합니다. 이렇게 하면 AlloyDB 클러스터 및 백업을 만드는 동안 CMEK가 적용됩니다.

  4. constraints/gcp.restrictCmekCryptoKeyProjects를 설정하려면 다음 단계를 따르세요.

    1. 제약조건 ID: constraints/gcp.restrictCmekCryptoKeyProjects 또는 Name: Restrict which projects may supply KMS CryptoKeys for CMEK으로 필터링합니다.
    2. 제약조건 이름을 클릭합니다.
    3. 수정을 클릭합니다.
    4. 맞춤설정을 클릭합니다.
    5. 규칙 추가를 클릭합니다.
    6. 정책 값에서 커스텀을 클릭합니다.
    7. 정책 유형에서 허용을 선택합니다.

    8. 커스텀 값 아래에 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, projects/PROJECT_ID 형식을 사용하여 리소스를 입력합니다.

      이렇게 하면 AlloyDB 클러스터와 백업이 허용된 프로젝트, 폴더 또는 조직의 Cloud KMS 키만 사용합니다.

  5. 완료를 클릭한 다음 저장을 클릭합니다.

다음 단계