조직 정책 서비스를 사용하면 고객이 중앙에서 프로그래매틱 방식으로 조직의 리소스에 대한 제한사항을 설정할 수 있습니다. 각 제한 유형은 제약 조건으로 정의되며, 제어되는 동작을 정의하는 청사진과 개념적으로 유사합니다. 시간이 지남에 따라 보안 및 규정 준수 요구사항이 변경되므로 조직 정책을 만들고 유지하는 것은 복잡할 수 있습니다.
조직 정책 추천 도구를 사용하면 고객 시스템을 중단하지 않고 Google Cloud 리소스를 보호할 수 있습니다. 기존 조직 정책 구성을 분석하고 적용할 조직 정책에 관한 권장사항을 생성합니다.
조직 정책 권장사항 개요
조직 정책 권장사항은 조직 정책 추천자에 의해 생성됩니다. 조직 정책 추천자는 추천자에서 제공하는 추천자 중 하나입니다.
각 조직 정책 추천은 Google Cloud 리소스의 보안을 개선하기 위해 특정 조직 정책을 설정하도록 제안합니다. 조직 정책은 제약 조건에서 빌드됩니다. 제약 조건은 Google Cloud 서비스에 대한 제한사항의 구성입니다.
조직 정책 추천자는 조직 정책 통계를 사용하여 설정되지 않은 조직 정책을 식별합니다. 조직 정책 통계는 리소스에 대한 조직 정책 제약 조건의 시행 상태와 리소스가 해당 조직 정책을 위반하는지 여부에 관한 결과입니다.
리소스가 조직 정책에 의해 제한된 상태에 있으면 조직 정책을 위반한 것으로 간주됩니다. 예를 들어 iam.managed.disableServiceAccountKeyCreation 제약 조건을 사용하면 서비스 계정 키 생성을 제한할 수 있습니다. 프로젝트에서 서비스 계정 키가 생성된 경우 조직 정책 서비스는 해당 프로젝트가 조직 정책을 위반한 것으로 간주합니다.
통계 및 추천이 생성되는 방식
권장사항은Google Cloud 리소스 사용을 최적화하기 위한 제안입니다. 여기에는 권장사항에 필요한 조치를 취하는 데 필요한 단계가 포함되며, 통계에서 식별된 취약점을 해결하기 위해 리소스 구성의 로그와 분석을 사용하여 생성됩니다.
통계는 리소스 사용량의 중요한 패턴에 선제적으로 집중할 수 있는 검색 결과이며, 추천을 만드는 데 필요한 컨텍스트가 포함되어 있습니다.
조직 정책 추천자는 리소스 계층 구조에서 가능한 가장 높은 수준으로 추천을 생성합니다. 예를 들어 폴더의 프로젝트에서 지원되는 제약조건 위반이 없는 경우 조직 정책 추천자는 프로젝트에 대한 추천을 제공하는 대신 해당 폴더에 대한 추천을 생성합니다.
지원되는 제약 조건
각 권장사항은 특정 조직 정책 제약 조건에 적용됩니다.
서비스 계정 키 생성
기본적으로 적절한 권한이 있는 사용자는 서비스 계정 키를 만들 수 있습니다. 하지만 서비스 계정 키를 올바르게 관리하지 않으면 보안 위험이 발생할 수 있습니다. iam.managed.disableServiceAccountKeyCreation 조직 정책 제약조건을 사용하면 프로젝트, 폴더 또는 조직에 속한 모든 서비스 계정에 대해 새로운 외부 서비스 계정 키 생성을 사용 중지할 수 있습니다.
조직 정책 추천 도구는 서비스 계정 키 생성 제한을 위반하는지 평가하기 위해 ID 및 액세스 관리 (IAM) 사용자 관리 서비스 계정과 이러한 서비스 계정의 외부 키가 있는지 확인합니다.
생성된 서비스 계정 키가 없으면 조직 정책 추천 도구에서 iam.managed.disableServiceAccountKeyCreation 제약을 적용하라는 추천과 해당 통계의 추천 지원 세부정보를 생성합니다.
iam.managed.disableServiceAccountKeyCreation 제약 조건과 관련된 통계의 하위 유형은 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION입니다.
서비스 계정 키 업로드
사용자는 사용자 관리형 키 쌍의 공개 키를 업로드하여 서비스 계정과 연결할 수 있습니다. 공개 키를 업로드한 후 키 쌍의 비공개 키를 서비스 계정 키로 사용할 수 있습니다. iam.managed.disableServiceAccountKeyUpload 조직 정책 제약조건을 사용하여 프로젝트, 폴더 또는 조직의 서비스 계정에 외부 공개 키 업로드를 사용 중지할 수 있습니다.
업로드된 서비스 계정 키가 없으면 조직 정책 추천 도구에서 iam.managed.disableServiceAccountKeyUpload 제약 조건을 적용하라는 추천과 해당 통계의 추천 지원 세부정보를 생성합니다.
iam.managed.disableServiceAccountKeyUpload의 통계에는 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD 하위유형이 있습니다.
프로토콜 전달 규칙
프로토콜 전달은 리전별 전달 규칙을 사용하여 특정 프로토콜의 패킷을 단일 가상 머신 (VM) 인스턴스에 전달합니다. 전달 규칙은 내부 또는 외부 IP 주소를 가질 수 있습니다.
compute.managed.restrictProtocolForwardingCreationForTypes 조직 정책 제약조건을 사용하여 사용자가 만들 수 있는 프로토콜 전달 규칙 객체의 유형을 제한할 수 있습니다.
정의된 외부 프로토콜 전달 규칙이 없으면 조직 정책 추천자는 compute.managed.restrictProtocolForwardingCreationForTypes 제약 조건을 적용하는 권장사항과 해당 통계의 권장사항 지원 세부정보를 생성합니다.
compute.managed.restrictProtocolForwardingCreationForTypes 통계의 하위 유형은 ADD_POLICY_RESTRICT_PROTOCOL_FORWARDING_CREATION_FOR_TYPES입니다.
우선순위 및 심각도
권장사항 우선순위 및 통계 심각도는 권장사항 또는 통계의 긴급성을 이해하고 그에 따라 우선순위를 지정하는 데 도움이 됩니다.
조직 정책 권장사항 우선순위
권장사항에는 인식되는 긴급한 수준에 따라 우선순위 수준이 할당됩니다.
우선순위 수준 범위는 P1(가장 높은 우선순위)에서 P4(가장 낮은 우선순위)까지입니다.
모든 조직 정책 권장사항의 우선순위는 P1입니다.
조직 정책 권장사항 심각도
통계에는 인식되는 긴급한 수준에 따라 심각도 수준이 할당됩니다. 심각도 수준은 LOW, MEDIUM, HIGH, CRITICAL일 수 있습니다.
모든 조직 정책 통계의 심각도는 HIGH입니다.
추천이 적용되는 방식
조직 정책 추천자는 자동으로 권장사항을 적용하지 않습니다. 대신 사용자가 권장사항을 검토하고 적용하기 또는 닫기를 결정해야 합니다. 역할 권장사항을 검토, 적용, 닫는 방법을 알아보려면 조직 정책 권장사항 검토 및 적용을 참고하세요.
감사 로깅
권장사항을 적용하거나 닫으면 조직 정책 추천자가 로그 항목을 만듭니다. Google Cloud 감사 로그에서 확인할 수 있습니다.
가격 책정
관리형 제약 조건에 대한 조직 정책 권장사항은 무료로 제공됩니다.
자세한 내용은 결제 관련 문의를 참조하세요.