조직 정책 서비스는 고객이 조직의 리소스에 제한사항을 설정할 수 있도록 중앙에서 프로그래매틱 방식으로 제어할 수 있는 기능을 제공합니다. 각 제한 유형은 제약조건으로 정의되며 제어할 동작을 정의하는 청사진과 개념적으로 유사합니다. 보안 및 규정 준수 요구사항이 시간이 지남에 따라 변경되므로 조직 정책을 만들고 유지하는 것은 복잡할 수 있습니다.
조직 정책 추천 도구를 사용하면 고객 시스템을 중단하지 않고도 Google Cloud 리소스를 보호할 수 있습니다. 기존 조직 정책 구성을 분석하고 적용할 조직 정책에 관한 권장사항을 생성합니다.
조직 정책 권장사항 개요
조직 정책 권장사항은 조직 정책 추천자에 의해 생성됩니다. 조직 정책 추천자는 추천자에서 제공하는 추천자 중 하나입니다.
각 조직 정책 권장사항은 Google Cloud 리소스의 보안을 개선하기 위해 특정 조직 정책을 설정하라고 제안합니다. 조직 정책은 Google Cloud 서비스에 대한 제한사항 구성인 제약조건으로 빌드됩니다.
조직 정책 추천 도구는 조직 정책 통계를 사용하여 설정되지 않은 조직 정책을 식별합니다. 조직 정책 통계는 리소스에 대한 조직 정책 제약조건의 시행 상태와 리소스가 해당 조직 정책을 위반하는지에 관한 발견사항입니다.
리소스가 조직 정책에 의해 제한된 상태에 있으면 조직 정책을 위반하는 것으로 간주됩니다. 예를 들어 iam.managed.disableServiceAccountKeyCreation 제약조건을 사용하면 서비스 계정 키 생성을 제한할 수 있습니다. 프로젝트에 서비스 계정 키가 생성된 경우 조직 정책 서비스는 해당 프로젝트가 조직 정책을 위반한다고 간주합니다.
통계 및 추천 생성 방법
권장사항은Google Cloud 리소스 사용을 최적화하기 위한 제안입니다. 권장사항에 따른 조치를 취하는 데 필요한 단계가 포함되며, 통계에서 식별된 취약점을 해결하기 위해 리소스 구성의 로그와 분석을 사용하여 생성됩니다.
통계는 리소스 사용량의 중요한 패턴에 선제적으로 집중하는 데 사용할 수 있는 검색 결과이며 권장사항을 만드는 데 필요한 컨텍스트를 포함합니다.
조직 정책 추천 도구는 리소스 계층 구조에서 가능한 한 가장 높은 수준에서 추천을 생성합니다. 예를 들어 폴더 아래의 프로젝트에서 지원되는 제약 조건을 위반하지 않는 경우 조직 정책 추천 도구는 프로젝트에 대한 추천을 제공하는 대신 해당 폴더에 대한 추천을 생성합니다.
지원되는 제약조건
각 권장사항은 특정 조직 정책 제약조건에 따라 다릅니다.
서비스 계정 키 생성
기본적으로 적절한 권한이 있는 사용자는 서비스 계정 키를 만들 수 있습니다. 그러나 서비스 계정 키를 올바르게 관리하지 않으면 보안 위험을 초래할 수 있습니다. iam.managed.disableServiceAccountKeyCreation 조직 정책 제약조건을 사용하면 프로젝트, 폴더 또는 조직의 모든 서비스 계정에 대해 새 외부 서비스 계정 키 생성을 사용 중지할 수 있습니다.
조직 정책 추천 도구는 Identity and Access Management (IAM) 사용자 관리 서비스 계정 및 이러한 서비스 계정의 외부 키의 존재를 확인하여 서비스 계정 키 생성에 대한 제한사항을 위반하는지 평가합니다.
생성된 서비스 계정 키가 없는 경우 조직 정책 추천 도구는 iam.managed.disableServiceAccountKeyCreation 제약 조건을 적용하기 위한 권장사항과 해당 통계에서 권장사항의 지원 세부정보를 생성합니다.
iam.managed.disableServiceAccountKeyCreation 제약 조건과 관련된 통계의 하위유형은 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION입니다.
서비스 계정 키 업로드
사용자는 사용자 관리 키 쌍의 공개 키 부분을 업로드하여 서비스 계정과 연결할 수 있습니다. 공개 키를 업로드한 후 키 쌍의 비공개 키를 서비스 계정 키로 사용할 수 있습니다. iam.managed.disableServiceAccountKeyUpload 조직 정책 제약조건을 사용하여 프로젝트, 폴더 또는 조직의 서비스 계정에 외부 공개 키를 업로드하는 기능을 사용 중지할 수 있습니다.
업로드된 서비스 계정 키가 없으면 조직 정책 추천 도구가 해당 통계에서 iam.managed.disableServiceAccountKeyUpload 제약 조건을 적용하기 위한 권장사항과 권장사항의 지원 세부정보를 생성합니다.
iam.managed.disableServiceAccountKeyUpload에 대한 통계에는 ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD 하위유형이 있습니다.
우선순위 및 심각도
권장사항 우선순위 및 통계 심각도는 권장사항 또는 통계의 긴급성을 이해하고 그에 따라 우선순위를 지정하는 데 도움이 됩니다.
조직 정책 권장사항 우선순위
권장사항은 인식되는 긴급한 수준에 따라 우선순위 수준이 할당됩니다.
우선순위 수준 범위는 P1(가장 높은 우선순위)에서 P4(가장 낮은 우선순위)까지입니다.
모든 조직 정책 권장사항의 우선순위는 P1입니다.
조직 정책 권장사항 심각도
통계에는 인식되는 긴급한 수준에 따라 심각도 수준이 할당됩니다. 심각도 수준은 LOW, MEDIUM, HIGH, CRITICAL일 수 있습니다.
모든 조직 정책 통계의 심각도는 HIGH입니다.
추천이 적용되는 방식
조직 정책 추천 도구는 권장사항을 자동으로 적용하지 않습니다. 대신 사용자가 권장사항을 검토하고 적용하기 또는 닫기를 결정해야 합니다. 역할 권장사항을 검토, 적용, 닫는 방법은 조직 정책 권장사항 검토 및 적용을 참고하세요.
감사 로깅
권장사항을 적용하거나 닫으면 조직 정책 추천자가 로그 항목을 만듭니다. Google Cloud 감사 로그에서 확인할 수 있습니다.
가격 책정
관리형 제약조건에 대한 조직 정책 권장사항은 무료로 제공됩니다.
자세한 내용은 결제 관련 문의를 참조하세요.