커스텀 조직 정책 사용

Google Cloud 조직 정책을 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서 Google Cloud 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 조직, 폴더, 프로젝트 수준에서 조직 정책을 적용할 수 있습니다.

조직 정책은 다양한 Google Cloud 서비스에 대한 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 더욱 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 조직 정책도 만들면 됩니다.

이점

• 보안, 규정 준수, 거버넌스: 다음과 같이 커스텀 조직 정책을 사용할 수 있습니다.
  • 보안 요구사항을 적용하려면 고객 관리 암호화 키(CMEK) 사용을 적용하면 됩니다.
  • 저장소를 만들거나 업데이트할 때 전달되는 필드를 제한할 수 있습니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

가격 책정

사전 정의된 조직 정책과 커스텀 조직 정책을 포함한 조직 정책 서비스는 무료로 제공됩니다.

시작하기 전에

1. Artifact Registry를 사용 설정하고 Google Cloud CLI를 설치합니다.
2. (선택사항) cloud CLI 명령어의 기본값을 구성합니다.
3. 저장소 콘텐츠를 암호화하는 데 고객 관리 암호화 키(CMEK)가 필요한 경우 저장소의 Cloud KMS에 키를 만들고 사용 설정합니다.
4. 조직 ID를 알고 있어야 합니다.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음의 IAM 역할을 부여해 달라고 요청합니다.

• 조직 리소스의 조직 정책 관리자(roles/orgpolicy.policyAdmin)
• 조직 정책 테스트: 조직 리소스의 Artifact Registry 관리자(roles/artifactregistry.admin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 조직 정책 관리에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

커스텀 제약조건 만들기

커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 사용하여 YAML 파일에서 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.

Artifact Registry는 REPOSITORY 리소스의 CREATE 및 UPDATE 메서드에 적용되는 커스텀 제약조건을 지원합니다.

다음과 유사한 커스텀 제약조건의 YAML 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- artifactregistry.googleapis.com/Repository
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

• ORGANIZATION_ID: 조직 ID입니다(예: 123456789).

• CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름입니다. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자, 숫자만 포함할 수 있습니다(예: custom.enableDockerRemotes.). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예: organizations/123456789/customConstraints/custom.enableDockerRemotes).

• CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건입니다. 이 필드의 최대 길이는 1000자(영문 기준)입니다. 조건을 작성하는 데 사용할 수 있는 리소스(예: (resource.mode == 'REMOTE' && resource.format == 'DOCKER') || (resource.mode != 'REMOTE'))에 대한 자세한 내용은 지원되는 리소스를 참조하세요.

• ACTION: condition이 충족될 때 수행할 작업입니다. ALLOW 또는 DENY일 수 있습니다.

• DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름입니다. 이 필드의 최대 길이는 200자(영문 기준)입니다.

• DESCRIPTION: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명입니다. 이 필드의 최대 길이는 2,000자(영문 기준)입니다(예: All remote repositories must be Docker format.).

커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.

커스텀 제약조건 설정

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

커스텀 조직 정책 적용

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

커스텀 조직 정책 테스트

원격 저장소를 만드는 다음 예시에서는 Docker 형식의 원격 저장소만 만들 수 있도록 커스텀 조직 정책을 만들어 저장소를 만들 때 적용했다고 가정합니다.

프로젝트에서 Python 원격 저장소를 만들어 봅니다.

  gcloud artifacts repositories create REMOTE-REPOSITORY-NAME \
      --project=PROJECT_ID \
      --repository-format=python \
      --location=LOCATION \
      --description="DESCRIPTION" \
      --mode=remote-repository \
      --remote-repo-config-desc="REMOTE-REPOSITORY-DESCRIPTION" \
      --remote-python-repo=UPSTREAM

업스트림 저장소에 인증하기 위한 선택적 플래그:

• --remote-username=USERNAME

• --remote-password-secret-version=SECRET_VERSION

  다음을 바꿉니다.

• REMOTE-REPOSITORY-NAME을 저장소 이름으로 바꿉니다. 프로젝트의 저장소 위치마다 저장소 이름이 고유해야 합니다.

• PROJECT_ID를 프로젝트 ID로 바꿉니다. 이 플래그를 생략하면 현재 프로젝트 또는 기본 프로젝트가 사용됩니다.

• LOCATION을 저장소의 리전 또는 멀티 리전 위치로 바꿉니다. 기본값을 설정하는 경우 이 플래그를 생략할 수 있습니다. 지원되는 저장소 위치 목록을 보려면 gcloud artifacts locations list 명령어를 실행합니다.

• DESCRIPTION을 저장소에 대한 설명(선택사항)으로 바꿉니다. 저장소 설명은 암호화되지 않으므로 민감한 정보는 포함하지 마세요.

• REMOTE-REPOSITORY-DESCRIPTION을 이 원격 저장소의 외부 저장소 구성에 대한 설명으로 바꿉니다.

• (원하는 경우) USERNAME을 인증 사용 시 업스트림 저장소에 인증하기 위한 사용자 이름으로 바꿉니다.

• (원하는 경우) SECRET_VERSION을 인증 사용 시 업스트림 저장소 비밀번호가 포함된 보안 비밀 버전으로 바꿉니다.

• UPSTREAM을 사전 설정된 업스트림 이름, Artifact Registry 저장소 경로 또는 업스트림 저장소의 사용자 정의 URL로 바꿉니다.
  
  Artifact Registry 업스트림 저장소의 경우 저장소 경로 형식을 다음과 같이 지정합니다. projects/UPSTREAM_PROJECT_ID/locations/REGION/repositories/UPSTREAM_REPOSITORY
  
  사용 가능한 사전 설정 업스트림 및 지원되는 사용자 정의 업스트림에 대한 자세한 내용은 지원되는 형식을 참조하세요.

  예를 들어 다음 명령어는 Google Cloud 프로젝트 my-project의 us-east1 리전에 my-repo라는 원격 저장소를 만들고 사용자 이름 my-username과 projects/my-project/secrets/my-secret/versions/1 보안 비밀 버전을 사용하여 업스트림 저장소에 인증할 수 있습니다.

  gcloud artifacts repositories create my-repo \
      --project=my-project \
      --repository-format=python \
      --location=us-east1 \
      --description="Remote Python repository" \
      --mode=remote-repository \
      --remote-repo-config-desc="PyPI" \
      --remote-username=my-username \
      --remote-password-secret-version=projects/my-project/secrets/my-secret/versions/1 \
      --remote-python-repo=PYPI
  

출력은 다음과 같습니다.

Operation denied by custom org policies: ["customConstraints/custom.enableDockerRemotes": "All remote repositories must be Docker format."]

Artifact Registry 지원 리소스

Artifact Registry는 저장소 리소스에 대한 만들기 및 업데이트 작업의 모든 필드에 적용되는 커스텀 제약조건을 지원합니다.

일반적인 사용 사례의 커스텀 조직 정책 예시

다음 표에서는 유용한 몇 가지 커스텀 조직 정책 구문을 제공합니다.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.requireEnvProdStaging
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.labels.env in ['PROD', 'STAGING']"
    actionType: ALLOW
    displayName: PROD and STAGING environments
    description: All repositories must have env labels for either PROD or STAGING.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRemotes
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.mode in ['STANDARD', 'VIRTUAL']"
    actionType: ALLOW
    displayName: Disable remote repository creation
    description: All repositories must be standard or virtual mode.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.format == 'DOCKER' && !resource.dockerConfig.immutableTags"
    actionType: DENY
    displayName: Enforce tag immutability
    description: All new Docker repositories must have tag immutability enabled.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.enableAutoUpgrade
    resourceTypes:
    - artifactregistry.googleapis.com/Repository
    methodTypes:
    - CREATE
    condition: "resource.kmsKeyName.contains('projects/my-project/')"
    actionType: ALLOW
    displayName: Enforce the use of a CMEK key from my-project
    description: All repositories must be created with a CMEK key from my-project.

다음 단계

• 조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개 참조하기
• 조직 정책 만들기 및 관리 방법 자세히 알아보기
• 사전 정의된 조직 정책 제약조건의 전체 목록 참조하기