AlloyDB 조직 정책 개요

이 페이지에서는 조직 관리자가 사용자가 해당 조직에서 클러스터와 백업을 구성하는 방법에 대한 제한을 설정하는 데 사용하는 PostgreSQL용 AlloyDB 조직 정책을 설명합니다.

프로젝트, 폴더, 조직은 부모-자식 리소스 계층 구조로 구성된 컨테이너 리소스입니다. 조직은 해당 계층 구조의 루트 노드입니다. 자세한 내용은 리소스 계층 구조를 참고하세요.

조직 정책에는 조직 관리자가 프로젝트, 폴더 또는 조직에 적용하는 제약 조건이라는 규칙이 포함되어 있습니다. 제약 조건은 모든 클러스터와 백업에 정책을 적용합니다. 예를 들어 조직 정책이 있는 항목에 클러스터나 백업을 만들려고 하면 클러스터나 백업 구성이 제약조건의 요구사항을 준수하는지 확인하기 위해 제약조건 검사가 실행됩니다. 확인에 실패하면 AlloyDB는 클러스터 또는 백업 리소스를 만들지 않습니다.

조직 정책을 사용하는 조직 또는 폴더에 프로젝트를 추가하면 프로젝트가 그 정책의 제약조건을 상속합니다.

조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개, 제약 조건, 계층 구조 평가 이해를 참고하세요.

다음 조직 정책은 AlloyDB에만 해당합니다.

사전 정의된 조직 정책

시작하려면 AlloyDB 클러스터 및 백업의 고객 관리 암호화 키 (CMEK) 설정을 사용하면 됩니다. 자세한 내용은 사전 정의된 조직 정책 사용을 참고하세요. 지원되는 다른 설정을 세부적으로 맞춤설정 가능하게 제어하려면 커스텀 제약조건을 사용하면 됩니다. 자세한 내용은 커스텀 조직 정책 사용을 참고하세요.

고객 관리 암호화 키(CMEK) 조직 정책

AlloyDB는 다음 조직 정책 제약 조건을 지원합니다.

  • constraints/gcp.restrictNonCmekServices: alloydb.googleapis.com API에 CMEK 보호가 필요합니다. 이 제약조건과 alloydb.googleapis.com을 서비스의 Deny 정책 목록에 추가하면 새 클러스터 또는 백업 리소스가 CMEK로 사용 설정되지 않은 한 AlloyDB에서 새 클러스터 또는 백업 리소스 만들기가 거부됩니다.
  • constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB 클러스터 및 백업에서 CMEK 보호에 사용할 Cloud KMS CryptoKey를 제한합니다. AlloyDB가 CMEK 및 이 제약 조건을 사용하여 새 클러스터 또는 백업을 만들 때 CryptoKey가 허용된 프로젝트, 폴더 또는 조직에서 시작되어야 합니다.

이러한 제약 조건은 조직 전체에서 CMEK 보호를 보장하는 데 도움이 되며 새로 만든 AlloyDB 클러스터 및 백업에만 적용됩니다. 자세한 내용은 CMEK 조직 정책조직 정책 제약 조건을 참고하세요.

커스텀 조직 정책

설정을 세부적으로 맞춤설정 가능하게 제어하려면 커스텀 제약조건을 만들고 커스텀 조직 정책에 이러한 커스텀 제약조건을 사용하면 됩니다. 커스텀 조직 정책을 사용하여 보안, 규정 준수, 거버넌스를 개선할 수 있습니다.

커스텀 조직 정책을 만드는 방법은 커스텀 조직 정책 사용을 참고하세요. 지원되는 맞춤 제약 조건 및 작업 목록을 확인할 수도 있습니다.

조직 정책 적용 규칙

AlloyDB는 다음 작업에 조직 정책을 적용합니다.

  • 인스턴스 생성
  • 인스턴스 업데이트
  • 클러스터 만들기
  • 백업 만들기

모든 조직 정책 제약조건과 마찬가지로 정책 변경사항은 기존 클러스터 및 백업에 소급 적용되지 않습니다. 다음은 그 예입니다.

  • 새 정책은 기존 인스턴스, 클러스터 또는 백업에 영향을 주지 않습니다.
  • 사용자가 Google Cloud 콘솔, gcloud CLI 또는 RPC를 사용하여 인스턴스, 클러스터 또는 백업 구성을 규정 준수에서 규정 비준수 상태로 변경하지 않는 한 기존 인스턴스, 클러스터 또는 백업 구성이 유효한 상태로 유지됩니다.
  • 유지보수는 인스턴스, 클러스터 또는 백업의 구성을 변경하지 않으므로 예약된 유지보수 업데이트로 인해 정책이 적용되지 않습니다.

다음 단계