조직 정책 제약조건 적용

다음 컨피덴셜 컴퓨팅 조직 정책 제약조건을 사용 설정하면 조직 전체에서 생성된 모든 VM 리소스는 컨피덴셜 VM 인스턴스가 됩니다.

시작하기 전에

조직 정책 제약조건을 수정하려면 적절한 권한이 있는 역할이 있어야 합니다. 조직 정책을 설정하거나 변경하려면 최소한 조직 정책 관리자 역할이 있어야 합니다.

제약조건 사용 설정

VM 인스턴스에서 제약조건을 사용 설정하려면 다음 안내를 따르세요.

Console

  1. Google Cloud Console에서 페이지 상단에 있는 프로젝트 선택기 메뉴를 클릭합니다. 프로젝트 선택기에서 제약조건을 적용할 조직을 선택합니다.
  2. 조직 정책 열기: 탐색 메뉴 를 클릭하고 IAM 및 관리자를 가리킨 다음 조직 정책을 클릭합니다.

    조직 정책 열기

  3. 조직 정책 목록에서 비컨피덴셜 컴퓨팅 제한을 선택합니다. 먼저 정책 이름별로 목록을 필터링하는 것이 좋습니다

  4. 비컨피덴셜 컴퓨팅 제한의 정책 세부정보 페이지에서 수정 을 클릭합니다.

    절차 전 정책 세부정보 화면 스크린샷

  5. 적용 대상에서 맞춤설정을 선택합니다.

  6. 정책 적용에서 새 정책 설정을 상위 조직의 정책 설정으로 병합할지(상위 항목과 병합) 아니면 현재 정책 설정을 대체하고 상위 조직의 설정을 무시할지(바꾸기)를 선택합니다.

  7. 그런 다음 정책 값에서 커스텀을 선택하고 정책 유형에서 거부를 선택합니다. 이 옵션을 사용하면 이 조직에서 만든 모든 새 VM 인스턴스가 컨피덴셜 VM 인스턴스가 됩니다.

  8. 커스텀 값 아래의 필드에 이 정책을 적용할 지원되는 API 서비스 이름을 추가합니다. 지원되는 서비스 목록은 정책 설명에 제공됩니다. 예를 들어 새 가상 머신 인스턴스를 만들 때 이 정책을 적용하려면 compute.googleapis.com을 입력합니다. API 서비스를 두 개 이상 입력하려면 새 정책 값을 클릭합니다.

  9. 필요한 경우 권장사항 설정을 클릭하여 Cloud Console에서 이 정책에 권장사항 메모를 입력할 수 있습니다. 완료했으면 저장을 클릭합니다.

이 작업을 올바르게 수행했으면 비컨피덴셜 컴퓨팅 제한정책 세부정보 화면이 다음 스크린샷과 유사하게 표시됩니다. 거부됨에서 서비스 API 이름을 확인합니다.

절차 후 정책 세부정보 화면 스크린샷

gcloud

다음 gcloud 명령어를 사용하고 PROJECT_ID 자리표시자를 프로젝트 식별자로 바꿉니다.

gcloud beta resource-manager org-policies deny \
  constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
  --project=PROJECT_ID

'비컨피덴셜 컴퓨팅 제한' 조직 정책을 거부하면 모든 새 VM 인스턴스가 컨피덴셜 VM 인스턴스가 되도록 지정하는 것입니다.

제약조건 사용 중지

제약조건을 사용 중지하려면 다음 안내를 따르세요.

Console

  1. Google Cloud Console에서 페이지 상단에 있는 프로젝트 선택기 메뉴를 클릭합니다. 프로젝트 선택기에서 제약조건이 적용된 조직을 선택합니다.
  2. 조직 정책 열기: 탐색 메뉴 를 클릭하고 IAM 및 관리자를 가리킨 다음 조직 정책을 클릭합니다.

    조직 정책 열기

  3. 조직 정책 목록에서 비컨피덴셜 컴퓨팅 제한을 선택합니다. 먼저 정책 이름별로 목록을 필터링하는 것이 좋습니다

  4. 비컨피덴셜 컴퓨팅 제한의 정책 세부정보 페이지에서 수정 을 클릭합니다.

  5. 정책 값에서 모두 허용을 선택한 다음 저장을 클릭합니다.

gcloud

다음 gcloud 명령어를 사용하세요. 이 명령어를 실행하면 정책이 프로젝트의 기본 상태로 다시 설정됩니다. PROJECT_ID 자리표시자를 프로젝트 식별자로 바꿉니다.

gcloud beta resource-manager org-policies delete \
  constraints/compute.restrictNonConfidentialComputing \
  --project=PROJECT_ID

'비컨피덴셜 컴퓨팅 제한' 조직 정책을 허용하여 조직에서 컨피덴셜 VM 인스턴스가 아닌 VM 인스턴스를 만들 수 있는 권한을 다시 사용 설정할 수 있습니다.

정책 파일 만들기

또는 set-policy 명령어를 사용하여 정책 파일을 만들 수 있습니다.

다음 단계

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.