Google Cloud 조직 정책을 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서 Google Cloud 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 조직, 폴더, 프로젝트 수준에서 조직 정책을 적용할 수 있습니다.
조직 정책은 다양한 Google Cloud 서비스에 대한 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 보다 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 제약조건을 만들고 조직 정책에 이러한 커스텀 제약조건을 시행할 수 있습니다.
정책 상속
기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.
Cloud NGFW 지원 리소스
VPC 방화벽 규칙의 경우 다음 리소스 및 필드에 대한 커스텀 제약조건을 설정할 수 있습니다.
- 방화벽:
compute.googleapis.com/Firewall
- 이름:
resource.name
- 설명:
resource.description
- 네트워크:
resource.network
- 우선순위:
resource.priority
- 소스 범위:
resource.sourceRanges[]
- 대상 범위:
resource.destinationRanges[]
- 소스 태그:
resource.sourceTags[]
- 대상 태그:
resource.targetTags[]
- 허용 규칙:
resource.allowed[]
- 프로토콜:
resource.allowed[].IPProtocol
- 포트:
resource.allowed[].ports[]
- 프로토콜:
- 거부 규칙:
resource.denied[]
- 프로토콜:
resource.denied[].IPProtocol
- 포트:
resource.denied[].ports[]
- 프로토콜:
- 방향:
resource.direction
- 사용 안함:
resource.disabled
- 이름:
커스텀 제약조건 정의
커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업에 의해 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 조직 정책 만들기 및 관리의 CEL 섹션을 참조하세요.
표준 CEL 함수 외에도 커스텀 CEL 함수 containsFirewallPort
를 사용하여 방화벽 규칙에 대한 커스텀 제약조건을 만들 수 있습니다. 이 함수를 사용하여 특정 프로토콜 또는 프로토콜과 포트 조합을 참조하는 제약조건을 만들 수 있습니다.
- 프로토콜 전용:
resource.allowed.containsFirewallPort('PROTOCOL')
- 프로토콜 및 포드:
resource.allowed.containsFirewallPort('PROTOCOL', 'PORT_NUMBER')
허용되는 프로토콜에 대한 자세한 내용은 프로토콜 및 포트를 참조하세요.
시작하기 전에
-
아직 인증을 설정하지 않았다면 설정합니다.
인증은 Google Cloud 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다.
로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음 옵션 중 하나를 선택하여 Compute Engine에 인증하면 됩니다.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
조직 리소스의 조직 정책 관리자(
roles/orgpolicy.policyAdmin
) -
제약조건을 테스트하려면 필요한 역할:
-
프로젝트에 대한 Compute 네트워크 관리자 (
roles/compute.networkAdmin
) -
프로젝트의 서비스 계정 사용자 (
roles/iam.serviceAccountUser
)
-
프로젝트에 대한 Compute 네트워크 관리자 (
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.
페이지 상단의 프로젝트 선택 도구를 선택합니다.
프로젝트 선택 도구에서 조직 정책을 설정할 리소스를 선택합니다.
커스텀 제약조건을 클릭합니다.
표시 이름 상자에 제약조건에 대해 사용자 친화적인 이름을 입력합니다. 이 필드의 최대 길이는 200자(영문 기준)입니다. 오류 메시지에 노출될 수 있으므로 제약조건 이름에 민감한 정보 또는 PII를 사용하지 마세요.
제약조건 ID 상자에 새 커스텀 제약조건에 사용하려는 이름을 입력합니다. 커스텀 제약조건은
custom.
으로 시작해야 하며 대소문자 또는 숫자만 포함할 수 있습니다(예:custom.httpFirewallRule
). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예:organizations/123456789/customConstraints/custom.
).설명 상자에 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대해 사용자 친화적인 설명을 입력합니다. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.
리소스 유형 상자에서 제한하려는 객체 및 필드가 포함된 Google Cloud REST 리소스 이름을 선택합니다. 예를 들면
compute.googleapis.com/Firewall
입니다.적용 방법 아래에서 REST
CREATE
메서드에만 제약조건을 적용할지 또는 RESTCREATE
및UPDATE
메서드 모두에 제약조건을 적용할지를 선택합니다.조건을 정의하려면
조건 수정을 클릭합니다.조건 추가 패널에서 지원되는 서비스 리소스를 참조하는 CEL 조건을 만듭니다. 이 필드의 최대 길이는 1,000자(영문 기준)입니다.
저장을 클릭합니다.
작업에서 위 조건이 충족될 경우 평가된 메서드를 허용하거나 거부할지를 선택합니다.
제약조건 만들기를 클릭합니다.
ORGANIZATION_ID
: 조직 ID입니다(예:123456789
).CONSTRAINT_NAME
: 새 커스텀 제약조건에 사용하려는 이름. 커스텀 제약조건은custom.
으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예:custom.httpFirewallRule
). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예:organizations/123456789/customConstraints/custom
).RESOURCE_NAME
: 제한할 객체 및 필드가 포함된 Compute Engine API REST 리소스의 이름(URI 아님). 예를 들면Firewall
입니다.METHOD1,METHOD2,...
: 제약조건을 시행할 RESTful 메서드 목록입니다.CREATE
또는CREATE
과UPDATE
일 수 있습니다.CONDITION
: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건입니다. 이 필드의 최대 길이는 1,000자(영문 기준)입니다. 조건을 작성하는 데 사용할 수 있는 리소스에 대한 자세한 내용은 지원되는 리소스를 참조하세요.ACTION
:condition
이 충족될 때 수행할 작업.ALLOW
또는DENY
일 수 있습니다.DISPLAY_NAME
: 제약조건에 대한 사용자 친화적인 이름입니다. 이 필드의 최대 길이는 200자(영문 기준)입니다.DESCRIPTION
: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.- Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.
- 프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
- 조직 정책 페이지의 목록에서 제약조건을 선택하여 해당 제약조건의 정책 세부정보 페이지를 봅니다.
- 이 리소스의 조직 정책을 구성하려면 정책 관리를 클릭합니다.
- 정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
- 규칙 추가를 클릭합니다.
- 적용 섹션에서 이 조직 정책 적용을 사용 설정할지 여부를 선택합니다.
- 선택사항: 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하면 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
- 커스텀 제약조건인 경우 변경사항 테스트를 클릭하여 이 조직 정책의 효과를 시뮬레이션할 수 있습니다. 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.
- 조직 정책을 완료하고 적용하려면 정책 설정을 클릭합니다. 정책이 적용되는 데 최대 15분이 소요됩니다.
-
PROJECT_ID
: 제약조건을 적용할 프로젝트입니다. -
CONSTRAINT_NAME
: 커스텀 제약조건에 대해 정의된 이름입니다. 예를 들면
입니다.custom.httpFirewallRule
10.0.0.0/8
: VPC 네트워크에서 사용되는 내부 IP 주소 범위입니다.192.168.0.0/16
: VPC 네트워크에서 사용되는 내부 IP 주소 범위입니다.35.235.240.0/20
: TCP 전달을 위해 IAP(Identity-Aware Proxy)에 사용되는 IP 주소 범위입니다.다음 정보로
restrictSshRanges.yaml
제약조건 파일을 만듭니다.name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictSshRanges resource_types: compute.googleapis.com/Firewall condition: "resource.direction.matches('INGRESS') && resource.allowed.containsFirewallPort('tcp', '22') && !resource.sourceRanges.all(range, range == '35.235.240.0/20' || range.startsWith('10.') || range.startsWith('192.168.'))" action_type: DENY method_types: CREATE display_name: Limit firewall rules that allow ingress SSH traffic description: Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
ORGANIZATION_ID
를 조직 ID로 바꿉니다.커스텀 제약조건을 설정합니다.
gcloud org-policies set-custom-constraint restrictSshRanges.yaml
다음 예시에서 제공된 정보로
restrictSshRanges-policy.yaml
정책 파일을 만들고 프로젝트 수준에서 제약조건을 적용합니다. 조직 또는 폴더 수준에서 제약조건을 설정할 수도 있습니다.name: projects/PROJECT_ID/policies/custom.restrictSshRanges spec: rules: – enforce: true
PROJECT_ID
를 프로젝트 ID로 바꿉니다.정책을 적용합니다.
gcloud org-policies set-policy restrictSshRanges-policy.yaml
제약조건을 테스트하려면 자동 모드 VPC 네트워크를 만듭니다.
gcloud compute firewall-rules create ssh-firewall-rule \ --action=ALLOW --direction=INGRESS --network=NETWORK \ --priority=1000 --rules=tcp:22 --source-ranges=0.0.0.0/0
NETWORK
를 네트워크 이름으로 바꿉니다. 출력은 다음과 비슷합니다.ERROR: (gcloud.compute.networks.create) Could not fetch resource: - Operation denied by custom org policy: [customConstraints/custom.restrictSshRanges] : Firewall rules that allow ingress SSH traffic can only be created with allowed source ranges.
REST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참고하세요.
필요한 역할
Cloud Next Generation Firewall 리소스의 조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음의 IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 Cloud Next Generation Firewall 리소스의 조직 정책을 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
Cloud Next Generation Firewall 리소스의 조직 정책을 관리하려면 다음 권한이 필요합니다.
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
커스텀 제약조건 설정
커스텀 제약조건을 만들고 Google Cloud 콘솔 또는 Google Cloud CLI를 사용해서 조직 정책에 사용하도록 구성할 수 있습니다.
콘솔
각 필드에 값을 입력하면 이 커스텀 제약조건에 해당하는 YAML 구성이 오른쪽에 표시됩니다.
gcloud
Google Cloud CLI를 사용하여 커스텀 제약조건을 만들려면 YAML 파일을 만듭니다.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resource_types: compute.googleapis.com/RESOURCE_NAME method_types: – METHOD1 – METHOD2 condition: "CONDITION" action_type: ACTION display_name: DISPLAY_NAME description: DESCRIPTION
다음을 바꿉니다.
커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.
새 커스텀 제약조건의 YAML 파일을 만든 후에는 조직에서 조직 정책에 사용할 수 있도록 설정해야 합니다. 커스텀 제약조건을 설정하려면gcloud org-policies set-custom-constraint
명령어를 사용합니다.gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
를 커스텀 제약조건 파일의 전체 경로로 바꿉니다. 예를 들면/home/user/customconstraint.yaml
입니다. 완료되면 Google Cloud 조직 정책 목록에서 조직 정책으로 커스텀 제약조건을 사용할 수 있습니다. 커스텀 제약조건이 존재하는지 확인하려면gcloud org-policies list-custom-constraints
명령어를 사용합니다.gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
를 조직 리소스 ID로 바꿉니다. 자세한 내용은 조직 정책 보기를 참조하세요.커스텀 제약조건 적용
불리언 제약조건을 참조하는 조직 정책을 만들고 해당 조직 정책을 Google Cloud 리소스에 적용하여 불리언 제약조건을 적용할 수 있습니다.콘솔
gcloud
불리언 제약조건을 적용하는 조직 정책을 만들려면 제약조건을 참조하는 정책 YAML 파일을 만듭니다.
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
다음을 바꿉니다.
제약조건이 포함된 조직 정책을 적용하려면 다음 명령어를 실행합니다.
gcloud org-policies set-policy POLICY_PATH
POLICY_PATH
를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.예: SSH 연결을 허용하는 방화벽 규칙 만들기를 제한하는 제약조건 만들기
이 제약조건은 다음 범위가 아닌 IP 주소 범위에서 SSH 연결을 허용하는 인그레스 방화벽 규칙을 만들지 못하게 합니다.
gcloud
가격 책정
사전 정의된 조직 정책과 커스텀 조직 정책을 포함한 조직 정책 서비스는 무료로 제공됩니다.
다음 단계
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2024-12-22(UTC)
-