컨피덴셜 VM 사용 시행

조직에서 생성된 모든 VM이 컨피덴셜 VM 인스턴스인지 확인하려면 조직 정책 제약조건을 사용하면 됩니다.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직의 조직 정책 관리자 (roles/orgpolicy.policyAdmin) IAM 역할을 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 조직 정책을 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

조직 정책을 관리하려면 다음 권한이 필요합니다.

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

제약조건 사용 설정

VM 인스턴스에서 제약조건을 사용 설정하려면 다음 안내를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 페이지 상단의 전환 도구 상자를 클릭하고 제약 조건을 적용할 조직을 선택합니다. 프로젝트에 제약조건을 적용하려면 프로젝트를 선택하세요.

  3. 필터 상자에 restrict non-confidential computing를 입력한 다음 비기밀 컴퓨팅 제한 정책을 클릭합니다.

  4. 비컨피덴셜 컴퓨팅 제한정책 세부정보 페이지에서 정책 관리를 클릭합니다.

  5. 적용 대상 섹션에서 맞춤설정을 클릭합니다.

  6. 정책 시행 섹션에서 다음 옵션 중 하나를 선택합니다.

    • 상위 항목과 병합 새 정책 설정을 상위 조직의 정책 설정과 병합합니다.

    • 교체 현재 정책 설정을 대체하고 상위 조직의 정책 설정을 무시합니다.

  7. 규칙 섹션에서 규칙 추가를 클릭합니다.

  8. 정책 값 상자에서 커스텀을 선택하고 정책 유형거부로 설정합니다.

  9. 커스텀 값 상자에 정책을 적용할 API 서비스 이름으로 compute.googleapis.com을 입력합니다.

  10. 완료를 클릭합니다.

  11. 정책 설정을 클릭합니다.

gcloud

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com \
    --organization=ORGANIZATION_ID

다음 값을 제공합니다.

  • ORGANIZATION_ID: 제약조건을 추가할 조직의 ID입니다.

    Google Cloud 조직 ID를 찾는 방법

    콘솔

    Google Cloud 조직 ID를 찾으려면 다음 단계를 완료합니다.

    1. Google Cloud 콘솔로 이동합니다.

      Google Cloud 콘솔로 이동합니다.

    2. 메뉴 바에서 전환 상자를 클릭합니다.
    3. 다음 조직에서 선택 상자를 클릭한 후 조직을 선택합니다.
    4. 모두 탭을 클릭합니다. 조직 ID가 조직 이름 옆에 표시됩니다.

    gcloud CLI

    다음 명령어를 사용하여 Google Cloud 조직 ID를 검색할 수 있습니다.

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

조직 수준이 아닌 프로젝트 수준에서 제약조건을 적용하려면 --organization=ORGANIZATION_ID 대신 --project=PROJECT_ID를 사용합니다.

또는 set-policy 명령어를 사용하여 정책 파일로 정책을 설정할 수 있습니다.

제약조건 확인

제약조건을 확인하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

    VM 인스턴스로 이동

  2. 페이지 상단의 프로젝트 선택기를 클릭하고 VM을 만들 프로젝트를 선택합니다.

  3. 인스턴스 만들기를 클릭합니다.

  4. 컨피덴셜 VM 서비스 섹션에서 정책이 적용되는지 확인합니다.

제약조건 사용 중지

제약조건을 사용 중지하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 페이지 상단의 전환 도구 상자를 클릭하고 제약 조건을 적용할 조직을 선택합니다. 프로젝트에 제약조건을 적용하려면 대신 프로젝트를 선택하세요.

  3. 필터 상자에 restrict non-confidential computing를 입력한 다음 비기밀 컴퓨팅 제한 정책을 클릭합니다.

  4. 비컨피덴셜 컴퓨팅 제한정책 세부정보 페이지에서 정책 관리를 클릭합니다.

  5. 규칙을 클릭하여 펼칩니다.

  6. 정책 값 상자에서 모두 허용을 선택한 다음 완료를 클릭합니다.

  7. 정책 설정을 클릭합니다.

gcloud

gcloud resource-manager org-policies delete \
    constraints/compute.restrictNonConfidentialComputing \
    --organization=ORGANIZATION_ID

다음 값을 제공합니다.

  • ORGANIZATION_ID: 제약조건을 삭제할 조직의 ID입니다.

    Google Cloud 조직 ID를 찾는 방법

    콘솔

    Google Cloud 조직 ID를 찾으려면 다음 단계를 완료합니다.

    1. Google Cloud 콘솔로 이동합니다.

      Google Cloud 콘솔로 이동합니다.

    2. 메뉴 바에서 전환 상자를 클릭합니다.
    3. 다음 조직에서 선택 상자를 클릭한 후 조직을 선택합니다.
    4. 모두 탭을 클릭합니다. 조직 ID가 조직 이름 옆에 표시됩니다.

    gcloud CLI

    다음 명령어를 사용하여 Google Cloud 조직 ID를 검색할 수 있습니다.

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

조직 수준이 아닌 프로젝트 수준에서 제약조건을 삭제하려면 --organization=ORGANIZATION_ID 대신 --project=PROJECT_ID를 사용하세요.

또는 set-policy 명령어를 사용하여 정책 파일로 정책을 설정할 수 있습니다.

다음 단계

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.