허용 정책에 맞게 맞춤 조직 정책 사용

이 페이지에서는 조직 정책 서비스 커스텀 제약 조건을 사용하여 다음 Google Cloud 리소스에 대한 특정 작업을 제한하는 방법을 보여줍니다.

• iam.googleapis.com/AllowPolicy

조직 정책에 대한 자세한 내용은 커스텀 조직 정책을 참조하세요.

조직 정책 및 제약조건 정보

Google Cloud 조직 정책 서비스를 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서 Google Cloud 리소스와 이러한 리소스의 하위 요소에 적용되는 제한사항 집합(제약 조건이라고 함)인 조직 정책을 정의할 수 있습니다. 조직, 폴더 또는 프로젝트 수준에서 조직 정책을 적용할 수 있습니다.

조직 정책은 다양한 Google Cloud 서비스에 대한 사전 정의된 제약 조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 보다 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 제약조건을 만들고 조직 정책에 이러한 커스텀 제약조건을 사용할 수 있습니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

이점

IAM 속성을 참조하는 커스텀 조직 정책을 사용하여 허용 정책을 수정하는 방법을 제어할 수 있습니다. 구체적으로 다음을 제어할 수 있습니다.

• 역할이 부여될 수 있는 사용자
• 역할이 취소될 수 있는 사용자
• 부여될 수 있는 역할
• 취소될 수 있는 역할

예를 들어 이메일 주소가 @gmail.com으로 끝나는 주 구성원에게 admin 단어가 포함된 역할이 부여되지 않도록 할 수 있습니다.

제한사항

• IAM 속성을 참조하는 테스트 실행 모드의 커스텀 조직 정책에는 몇 가지 제한사항이 있습니다. 즉, setIamPolicy 메서드와 관련된 위반 사항에 대한 감사 로그에 다음 필드가 누락될 수 있습니다.

  • resourceName
  • serviceName
  • methodName

• 일부 IAM 관련 맞춤 조직 정책 위반에 대해서는 감사 로그가 생성되지 않습니다. 즉, 맞춤 조직 정책으로 인해 조직 리소스에 대한 setIamPolicy 작업이 실패하면 Google Cloud에서 해당 이벤트에 대한 감사 로그를 생성하지 않습니다.

• IAM 속성을 참조하는 맞춤 조직 정책은 다음에 영향을 미치지 않습니다.

  • Cloud Storage ACL에 따른 기본 부여
  • Cloud Storage 편의 값 및 BigQuery 기본 데이터 세트 액세스에 대한 자동 역할 부여
  • 기본 허용 정책에 의해 부여된 역할: 예를 들어 프로젝트 작성자에게 프로젝트에 대한 소유자 역할 (roles/owner)이 자동으로 부여됩니다.

• 소유자 역할 (roles/owner)이 부여되지 않도록 하는 맞춤 조직 정책이 있더라도 사용자에게 소유자가 되라는 초대가 전송될 수 있습니다. 하지만 맞춤 조직 정책은 초대가 전송되는 것을 방지하지는 않지만 초대된 사용자에게 소유자 역할이 부여되는 것을 방지합니다. 초대된 사용자가 초대를 수락하려고 하면 오류가 발생하고 소유자 역할이 부여되지 않습니다.

• 리소스 만들기 또는 API 사용 설정과 같은 Google Cloud의 일부 작업에는 서비스 에이전트 또는 기본 서비스 계정에 역할이 자동으로 부여됩니다. 작업에 역할 자동 부여가 포함되어 있고 조직 정책으로 인해 역할이 부여되지 않는 경우 전체 작업이 실패할 수 있습니다.

  이 문제가 발생하면 태그를 사용하여 역할 부여를 방해하는 제약조건을 일시적으로 사용 중지할 수 있습니다. 그런 다음 작업을 실행합니다. 작업이 완료되면 제약조건을 다시 사용 설정합니다.

시작하기 전에

• IAM 리소스를 참조하는 커스텀 조직 정책을 테스트하려면 새 프로젝트를 만듭니다. 기존 프로젝트에서 조직 정책을 테스트하면 보안 워크플로가 중단될 수 있습니다.

  1. In the Google Cloud console, go to the project selector page.

     Go to project selector

  2. Select or create a Google Cloud project.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음의 IAM 역할을 부여해 달라고 요청합니다.

• 조직의 조직 정책 관리자 (roles/orgpolicy.policyAdmin)
• 이 페이지에 설명된 조직 정책 테스트: 프로젝트의 프로젝트 IAM 관리자 (roles/resourcemanager.projectIamAdmin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 조직 정책 관리에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

커스텀 제약조건 만들기

커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 사용하여 YAML 파일에서 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.

커스텀 제약조건을 만들려면 다음 형식을 사용하여 YAML 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

• ORGANIZATION_ID: 조직 ID입니다(예: 123456789).

• CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예: custom.denyProjectIAMAdmin). 이 필드의 최대 길이는 70자입니다.

• RESOURCE_NAME: 제한하려는 객체 및 필드가 포함된 Google Cloud 리소스의 정규화된 이름입니다. 예를 들면 iam.googleapis.com/AllowPolicy입니다.

• CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건. 이 필드의 최대 길이는 1000자(영문 기준)입니다. 조건을 작성하는 데 사용할 수 있는 리소스에 대한 자세한 내용은 지원되는 리소스를 참조하세요. 예를 들면 resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))입니다.

• ACTION: condition이 충족될 때 수행할 작업입니다. 가능한 값은 ALLOW 및 DENY입니다.

• DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름. 이 필드의 최대 길이는 200자(영문 기준)입니다.

• DESCRIPTION: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.

커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.

커스텀 제약조건 설정

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

커스텀 조직 정책 적용

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

커스텀 조직 정책 테스트

원하는 경우 정책을 설정한 후 정책에서 방지해야 하는 작업을 시도하여 조직 정책을 테스트할 수 있습니다.

제약조건 만들기

1. 다음 파일을 constraint-deny-project-iam-admin로 저장합니다.

   name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
   resourceTypes: iam.googleapis.com/AllowPolicy
   methodTypes:
     - CREATE
     - UPDATE
   condition:
     "resource.bindings.exists(
       binding,
       RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
       binding.members.exists(member,
         MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
       )
     )"
   actionType: DENY
   displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.
   

   다음 값을 바꿉니다.

   • ORG_ID: Google Cloud 조직의 숫자 ID
   • MEMBER_EMAIL_ADDRESS: 커스텀 제약 조건을 테스트하는 데 사용하려는 주 구성원의 이메일 주소. 제약 조건이 활성화된 상태에서는 제약 조건을 적용하려는 프로젝트에 대한 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 이 주 구성원에게 부여할 수 없습니다.

2. 제약조건을 적용합니다.

   gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml
   

3. 제약조건이 있는지 확인합니다.

   gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
   

정책 만들기

1. 다음 파일을 policy-deny-project-iam-admin.yaml로 저장합니다.

   name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
   spec:
     rules:
     - enforce: true
   

   PROJECT_ID를 프로젝트 ID로 바꿉니다.

2. 정책을 적용합니다.

   gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml
   

3. 정책이 있는지 확인합니다.

   gcloud org-policies list --project=PROJECT_ID
   

정책을 적용한 후 Google Cloud가 정책 시행을 시작할 때까지 2분 정도 기다립니다.

정책 테스트

커스텀 제약 조건에 포함한 이메일 주소를 가진 주 구성원에게 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 부여해 봅니다. 명령어를 실행하기 전에 다음 값을 바꿉니다.

• PROJECT_ID: 제약 조건을 적용한 Google Cloud 프로젝트의 ID
• EMAIL_ADDRESS: 조직 정책 제약 조건을 만들 때 지정한 주 구성원의 이메일 주소

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

출력은 다음과 같습니다.

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

일반적인 사용 사례의 커스텀 조직 정책 예시

다음 표에는 일반적인 사용 사례에 대한 몇 가지 커스텀 제약 조건의 구문이 나와 있습니다.

다음 예시에서는 CEL 매크로 all 및 exists를 사용합니다. 이러한 매크로에 대한 자세한 내용은 매크로를 참조하세요.

name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted

name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked

name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT

name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2

name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles

name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP

name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers

name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles

name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles

Identity and Access Management 지원 리소스

IAM은 AllowPolicy 리소스를 지원합니다. 이 리소스에는 resources.bindings 속성이 있으며, 이 속성은 리소스의 허용 정책을 수정하는 모든 메서드에 대해 반환됩니다. 리소스의 허용 정책을 수정하는 모든 메서드는 setIamPolicy로 끝납니다.

resource.bindings 속성 구조는 다음과 같습니다. 여기서 BINDINGS는 허용 정책을 변경하는 중에 수정한 역할 바인딩의 배열입니다.

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings의 각 바인딩 구조는 다음과 같습니다. 여기서 ROLE은 역할 바인딩의 역할 이름이고 MEMBERS는 역할 바인딩에 추가되었거나 삭제된 주 구성원의 식별자 목록입니다.

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

주 구성원 식별자에 지정할 수 있는 형식을 보려면 주 구성원 식별자를 참조하세요.

지원되는 함수를 사용해야지만 resource.bindings 속성과 해당 필드를 평가할 수 있습니다. ==, !=, in, contains, startsWith, endsWith와 같은 다른 연산자 및 함수는 지원되지 않습니다.

지원되는 함수

다음 CEL 함수를 사용하여 binding 리소스의 role 및 members 필드를 평가할 수 있습니다. 이러한 함수를 사용할 때 논리 연산자 &&(and) 및 ||(or)를 사용하여 여러 멀티파트 조건을 작성할 수도 있습니다.

MemberTypeMatches에 지원되는 주 구성원 유형

MemberTypeMatches 함수에서는 지정된 구성원이 일치해야 하는 사용자 인증 정보 유형을 지정해야 합니다.

다음 표에는 입력할 수 있는 주 구성원 유형과 주 구성원 유형이 나타내는 항목에 관한 설명이 나와 있습니다. 또한 각 주 구성원 유형에 해당하는 주 구성원 식별자가 나열됩니다. 이러한 식별자는 IAM 정책에 사용되는 값입니다.

다음 단계

• 조직 정책 서비스 자세히 알아보기
• 조직 정책을 만들고 관리하는 방법 자세히 알아보기
• 사전 정의된 조직 정책 제약조건의 전체 목록 참조하기