개요
이 가이드에서는 리소스 위치 제약조건을 포함하는 조직 정책을 설정하는 방법을 설명합니다.
조직 정책 서비스 리소스 위치 제약조건을 사용하여 새 리소스의 물리적 위치를 제한할 수 있습니다. 리소스의 위치 속성을 사용하여 서비스에서 배포하고 유지 관리하는 위치를 식별할 수 있습니다. 일부 Google Cloud 서비스의 데이터 포함 리소스의 경우 이 속성에 데이터 저장 위치도 반영됩니다. 이 제약조건을 사용하면 계층 구조에서 지원되는 서비스의 리소스 생성이 허용되는 Google Cloud 위치를 정의할 수 있습니다.
리소스 위치를 정의한 후에는 새로 만든 리소스에만 제한이 적용됩니다. 리소스 위치 제약조건을 설정하기 전에 만든 리소스는 계속 존재하며 기능을 수행합니다.
이 제약조건이 포함된 정책은 Cloud Storage 및 Dataproc과 같은 특정 서비스의 하위 리소스 생성 시 시행되지 않습니다.
제한사항
리소스 위치 조직 정책 서비스 제약조건은 위치를 선택할 수 있는 리소스를 만드는 기능을 제어합니다. 이 제약조건은 Compute Engine 전역 주소와 같은 전역 리소스 또는 위치 선택을 지원하지 않는 리소스가 생성되는 위치에는 영향을 주지 않습니다.
기존 서빙 인프라를 손상시키지 않으려면 비프로덕션 프로젝트와 폴더에서 새 정책을 테스트한 후 조직 내에서 정책을 점진적으로 적용해야 합니다.
데이터 스토리지 약정의 경우 Google Cloud 서비스 약관 및 서비스별 약관을 참조하세요. 리소스 위치 제약조건이 포함된 조직 정책과 데이터 스토리지 약정은 서로 다른 것입니다.
이 제약조건은 제품 및 리소스 유형의 특정 하위 집합에 적용됩니다. 지원되는 서비스 목록 및 각 서비스의 동작에 대한 자세한 내용은 리소스 위치 지원 서비스 페이지를 참조하세요.
위치 유형
서로 다른 크기 카테고리를 나타내는 위치 유형으로 Google Cloud 리소스를 배포할 수 있습니다.
가장 큰 위치 유형은 둘 이상의 region을 포함하는 multi-region입니다. 각 region은 zones로 더 세분화됩니다. 리전 및 영역에 대한 자세한 내용은 리전 및 영역 개요를 참조하세요.
Multi-region위치는 둘 이상의region에서 물리적 리소스로 지원되며 일반적으로 스토리지 기반 리소스에만 사용됩니다.us,asia,europe,global등이 여기에 해당합니다.Region위치는 지리적으로 서로 격리됩니다.us-west1(오리건),asia-northeast1(도쿄),europe-west1(벨기에) 등이 여기에 해당합니다.Zone위치는 가장 세분화되고 격리된 위치 유형이며 리소스를 배포하는 데 사용됩니다.zone은region내의의 독립적 장애 도메인입니다.us-east1-a,us-west1-b,asia-northeast1-a등이 여기에 해당합니다.
위치를 설정할 때 in: 프리픽스와 값 그룹을 사용해야 합니다. Google Cloud에서 선별한 값 그룹을 사용하면 현재 또는 미래의 클라우드 위치를 지정할 필요 없이 지리적 위치를 선택할 수 있습니다.
값 그룹의 in: 프리픽스는 값 그룹 내에 존재하는 모든 값이 정책의 일부로 간주되도록 지정합니다. 프리픽스 없이 그룹 값 또는 Google Cloud 리전을 입력하면 다음 규칙에 따라 in: 프리픽스가 자동으로 추가됩니다.
in:프리픽스를 사용하는 위치를 입력했는데 유효하지 않은 그룹이 포함된 경우 정책 변경이 실패합니다.us-east1과 같이 리전인 위치를 입력하면in:프리픽스가 추가되어 이 예시에서는in:us-east1-locations가 됩니다.us-locations와 같은 리전 또는 멀티 리전 값 그룹을 입력하면in:프리픽스가 추가되어 이 예시에서는in:us-locations가 됩니다.us-east1-a또는us와 같은 영역 또는 멀티 리전을 입력하면 값이 변경되지 않습니다.
조직 정책 설정
리소스 위치 제약조건은 일종의 목록 제약조건입니다.
리소스 위치 제약조건의 allowed_values 또는 denied_values 목록에서 제약조건을 추가하거나 삭제할 수 있습니다. 새 위치가 사용 가능한 목록에 추가될 때 조직 정책이 예기치 않게 서비스 동작을 제한하지 않도록 하려면 값 그룹을 사용하거나 정의할 전체 지리적 경계를 나타내는 allowed_values 목록을 사용하세요.
리소스 위치 제약조건을 포함하여 조직 정책 을 설정하는 방법은 다음과 같습니다.
콘솔
Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.
프로젝트 선택 도구에서 조직 정책을 설정할 조직, 폴더, 프로젝트를 선택합니다.
Google Cloud Platform - 리소스 위치 제한 제약조건을 선택하여 정책 세부정보 페이지를 엽니다.
정책 관리를 클릭합니다.
정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
정책 시행에서 교체를 선택합니다.
규칙 추가를 클릭합니다.
정책 값에서 커스텀을 선택합니다.
정책 유형에서 허용을 선택하여 허용된 위치 목록을 만들거나 거부를 선택하여 거부된 위치 목록을 만듭니다.
정책 값 상자에
in프리픽스와 값 그룹 위치 문자열을 입력한 후 Enter 키를 누릅니다.예를 들면
in:us-locations또는in:us-west1-locations입니다. 새 정책 값을 클릭하여 위치 문자열을 여러 개 입력할 수 있습니다.특정한 영역, 리전 또는 멀티 리전 위치를 위치 문자열로 입력할 수도 있습니다. 사용 가능한 위치 목록은 리소스 위치 지원 서비스 페이지를 참조하세요.
정책을 시행하려면 정책 설정을 클릭합니다.
gcloud
리소스 위치 제약조건을 시행하는 조직 정책을 만들려면 제약조건을 참조하는 정책 YAML 파일을 만듭니다.
constraint: constraints/gcp.resourceLocations
listPolicy:
deniedValues:
- in:us-east1-locations
- in:northamerica-northeast1-locations
제약조건이 포함된 조직 정책을 시행하려면 다음 명령어를 실행합니다.
gcloud org-policies set-policy \
--organization 'ORGANIZATION_ID' \
POLICY_PATH
다음을 바꿉니다.
- ORGANIZATION_ID: 조직 ID입니다(예: 01234567890).
- POLICY_PATH: 조직 정책이 포함된 YAML 파일의 전체 경로입니다.
새 조직 정책의 결과와 함께 응답이 반환됩니다.
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
rules:
- values:
allowedValues:
- in:us-east1-locations
- in:northamerica-northeast1-locations
특정한 영역, 리전 또는 멀티 리전 위치를 위치 문자열로 입력할 수도 있습니다. 사용 가능한 위치 목록은 리소스 위치 지원 서비스 페이지를 참조하세요.
API
Resource Manager API를 사용하여 리소스의 조직 정책을 설정할 수 있습니다. 인증 및 승인에 OAuth 2.0 Bearer 토큰이 필요합니다.
리소스 위치 제약조건을 사용하여 조직 정책을 설정하는 방법은 다음과 같습니다.
curl -X POST -H "Content-Type: application/json" -H "Authorization: \
Bearer ${bearer_token}" -d '{policy: {etag: "BwVtXec438Y=", constraint: \
"constraints/gcp.resourceLocations", list_policy: {denied_values: \
["in:europe-locations", "in:southamerica-locations"] }}}' \
https://cloudresourcemanager.googleapis.com/v1/organizations/123456789:setOrgPolicy
새 조직 정책의 결과와 함께 응답이 반환됩니다.
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
rules:
- values:
deniedValues:
- in:europe-locations
- in:southamerica-locations
특정한 영역, 리전 또는 멀티 리전 위치를 위치 문자열로 입력할 수도 있습니다. 사용 가능한 위치 목록은 리소스 위치 지원 서비스 페이지를 참조하세요.
조직 정책의 제약조건을 사용하는 방법은 제약조건 사용을 참조하세요.
조직 정책에서 상속 사용
리소스의 상위 노드에서 조직 정책을 상속하도록 조직 정책을 구체화할 수 있습니다. 상속을 통해 리소스 계층 구조 전체에 사용되는 조직 정책을 자세히 제어할 수 있습니다.
리소스 노드에서 상속을 사용하도록 설정하려면 조직 정책 .yaml 파일에서 inheritFromParent = true를 설정하세요. 예를 들면 다음과 같습니다.
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
inheritFromParent: true
rules:
- values:
deniedValues:
- in:us-west1
오류 메시지 예시
리소스 위치 제약조건을 지원하는 서비스는 제약조건을 위반하는 위치에 새 리소스를 만들 수 없습니다. 서비스가 제약조건을 위반하는 위치에 리소스를 만들려고 시도하면 실패하고 오류 메시지가 생성됩니다.
이 오류 메시지의 형식은 다음과 같습니다.
LOCATION_IN_REQUEST violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_TESTED.
다음 예시에서는 정책 시행으로 인해 Compute Engine 리소스가 새 인스턴스를 만들지 못합니다.
Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3.
Google Cloud Observability 및 Cloud 감사 로그 항목:
{
insertId: "5u759gdngec"
logName: "projects/policy-violation-test/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload: {
@type: "type.googleapis.com/google.cloud.audit.AuditLog"
authenticationInfo: {…}
authorizationInfo: [6]
methodName: "beta.compute.instances.insert"
request: {…}
requestMetadata: {…}
resourceLocation: {…}
resourceName: "projects/policy-violation-test/zones/us-east1-b/instances/instance-3"
response: {
@type: "type.googleapis.com/error"
error: {
code: 412
errors: [
0: {
domain: "global"
location: "If-Match"
locationType: "header"
message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
reason: "conditionNotMet"
}
]
message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
}
}
serviceName: "compute.googleapis.com"
status: {
code: 3
message: "INVALID_ARGUMENT"
}
}
receiveTimestamp: "2019-06-14T03:04:23.660988360Z"
resource: {
labels: {…}
type: "gce_instance"
}
severity: "ERROR"
timestamp: "2019-06-14T03:04:22.783Z"
}
취약점 발견 항목 및 해결
리소스 위치 제약조건은 런타임에 리소스 만들기를 제한합니다. 이 기능은 위치 위반이 발생하지 않도록 도와주지만 기존 위반을 식별하거나 해결하지 않습니다. 기본 제공되는 Security Command Center 서비스인 Security Health Analytics를 사용하여 리소스 계층에서 위치 위반을 검색할 수 있습니다. 자세한 내용은 조직 정책 취약점 발견 항목을 참조하세요.
위치 위반에 대한 Security Health Analytics 발견 항목이 있으면 Security Health Analytics 발견 항목 해결에서 해당 발견 항목을 해결하는 단계를 참조하세요.
값 그룹
값 그룹은 리소스 위치를 간단하게 정의하는 방법을 제공하기 위해 Google에서 선별한 그룹 및 위치 컬렉션입니다. 값 그룹은 관련 위치를 여러 개 포함하며 새 위치를 수용하도록 조직 정책을 변경하지 않아도 시간이 갈수록 Google에서 확장합니다.
조직 정책에 값 그룹을 사용하려면 in: 문자열을 항목의 프리픽스로 지정하세요. 값 프리픽스 사용에 대한 자세한 내용은 제약조건 사용을 참조하세요. 조직 정책을 설정하기 위한 호출에서는 그룹 이름이 검증되지 않습니다. 제공된 그룹 이름이 없을 경우 나중에 Google에서 그룹 이름을 만들지 않으면 유효한 조직 정책에 새 값이 추가되지 않습니다.
다음 표에는 현재 사용 가능한 그룹 목록이 나와 있습니다.
| 그룹 | 세부정보 | 직접 멤버 |
|---|---|---|
| 요하네스버그 | 요하네스버그 내의 모든 위치:in:africa-south1-locations |
값:
|
| 아시아 | 아시아 내의 모든 위치:in:asia-locations |
그룹:
값:
|
| 타이완 | 타이완 내의 모든 위치:in:asia-east1-locations |
값:
|
| 홍콩 | 홍콩 내의 모든 위치:in:asia-east2-locations |
값:
|
| 도쿄 | 도쿄 내의 모든 위치:in:asia-northeast1-locations |
값:
|
| 오사카 | 오사카 내의 모든 위치:in:asia-northeast2-locations |
값:
|
| 서울 | 서울 내의 모든 위치:in:asia-northeast3-locations |
값:
|
| 뭄바이 | 뭄바이 내의 모든 위치:in:asia-south1-locations |
값:
|
| 델리 | 델리 내의 모든 위치:in:asia-south2-locations |
값:
|
| 싱가포르 | 싱가포르 내의 모든 위치:in:asia-southeast1-locations |
값:
|
| 자카르타 | 자카르타 내의 모든 위치:in:asia-southeast2-locations |
값:
|
| 도하 | 도하 내의 모든 위치:in:me-central1-locations |
값:
|
| 담맘 | 담맘 내의 모든 위치:in:me-central2-locations |
값:
|
| 이스라엘 | 이스라엘 내 모든 위치:in:me-west1-locations |
값:
|
| 오스트레일리아 | 오스트레일리아 내의 모든 위치:in:australia-locations |
그룹:
|
| 시드니 | 시드니 내의 모든 위치:in:australia-southeast1-locations |
값:
|
| 멜버른 | 멜버른 내의 모든 위치:in:australia-southeast2-locations |
값:
|
| AWS | 모든 AWS 위치:in:aws-locations |
값:
|
| Azure | 모든 Azure 위치:in:azure-locations |
값:
|
| 유럽 연합 | 유럽 연합 내의 모든 위치:in:eu-locations |
그룹:
값:
|
| 바르샤바 | 바르샤바 내의 모든 위치:in:europe-central2-locations |
값:
|
| 핀란드 | 핀란드 내의 모든 위치:in:europe-north1-locations |
값:
|
| 마드리드 | 마드리드 내의 모든 위치:in:europe-southwest1-locations |
값:
|
| 벨기에 | 벨기에 내의 모든 위치:in:europe-west1-locations |
값:
|
| 베를린 | 베를린 내의 모든 위치:in:europe-west10-locations |
값:
|
| 토리노 | 토리노 내의 모든 위치:in:europe-west12-locations |
값:
|
| 프랑크푸르트 | 프랑크푸르트 내의 모든 위치:in:europe-west3-locations |
값:
|
| 네덜란드 | 네덜란드 내의 모든 위치:in:europe-west4-locations |
값:
|
| 밀라노 | 밀라노 내의 모든 위치:in:europe-west8-locations |
값:
|
| 파리 | 파리 내의 모든 위치:in:europe-west9-locations |
값:
|
| 유럽 | 유럽 내의 모든 위치:in:europe-locations |
그룹:
값:
|
| 런던 | 런던 내의 모든 위치:in:europe-west2-locations |
값:
|
| 취리히 | 취리히 내의 모든 위치:in:europe-west6-locations |
값:
|
| 일본 | 일본 내의 모든 위치:in:jp-locations |
그룹:
|
| 저탄소 위치 | 탄소 영향이 적은 모든 위치:in:low-carbon-locations |
그룹:
|
| 저탄소 캐나다 | 탄소 영향이 적은 캐나다 내의 모든 위치:in:canada-low-carbon-locations |
그룹:
|
| 몬트리올 | 몬트리올 내의 모든 위치:in:northamerica-northeast1-locations |
값:
|
| 토론토 | 토론토 내의 모든 위치:in:northamerica-northeast2-locations |
값:
|
| 저탄소 유럽 연합 | 탄소 영향이 적은 유럽 연합 내의 모든 위치:in:eu-low-carbon-locations |
그룹:
|
| 저탄소 유럽 | 탄소 영향이 적은 캐나다 내의 모든 위치:in:europe-low-carbon-locations |
그룹:
|
| 저탄소 북미 | 탄소 영향이 적은 북미 내의 모든 위치:in:northamerica-low-carbon-locations |
그룹:
|
| 아이오와 | 아이오와 내의 모든 위치:in:us-central1-locations |
값:
|
| 오리건 | 오리건 내의 모든 위치:in:us-west1-locations |
값:
|
| 저탄소 남미 | 탄소 영향이 적은 남미 내의 모든 위치:in:southamerica-low-carbon-locations |
그룹:
|
| 상파울루 | 상파울루 내의 모든 위치:in:southamerica-east1-locations |
값:
|
| 저탄소 미국 | 탄소 영향이 적은 미국 내의 모든 위치:in:us-low-carbon-locations |
그룹:
|
| 북미 | 북미 내의 모든 위치:in:northamerica-locations |
그룹:
값:
|
| 캐나다 | 캐나다 내 모든 위치in:canada-locations |
그룹:
값:
|
| 미국 | 미국 내의 모든 위치:in:us-locations |
그룹:
값:
|
| 오클라호마 | 오클라호마 내의 모든 위치:in:us-central2-locations |
값:
|
| 사우스캐롤라이나 | 사우스캐롤라이나 내의 모든 영역:in:us-east1-locations |
값:
|
| 북버지니아 | 북버지니아 내의 모든 위치:in:us-east4-locations |
값:
|
| 콜럼버스 | 콜럼버스 내의 모든 위치:in:us-east5-locations |
값:
|
| 댈러스 | 댈러스 내의 모든 위치:in:us-south1-locations |
값:
|
| 로스앤젤레스 | 로스앤젤레스 내의 모든 위치:in:us-west2-locations |
값:
|
| 솔트레이크시티 | 솔트레이크시티 내의 모든 위치:in:us-west3-locations |
값:
|
| 라스베이거스 | 라스베이거스 내의 모든 위치:in:us-west4-locations |
값:
|
| 남미 | 남미 내의 모든 위치:in:southamerica-locations |
그룹:
|
| 산티아고 | 산티아고 내 모든 위치:in:southamerica-west1-locations |
값:
|
인증
조직 정책 서비스에서는 API 인증 및 승인에 OAuth 2.0을 사용합니다. OAuth 2.0 Bearer 토큰을 가져오려면 다음 안내를 따르세요.
OAuth 2.0 Playground 페이지로 이동합니다.
1단계 범위 목록에서 Cloud Resource Manager API v2 > https://www.googleapis.com/auth/cloud-platform을 선택하고 API 승인을 클릭합니다.
Google 계정으로 로그인 페이지가 나타나면 계정을 선택하고 로그인합니다.
Google Oauth 2.0 Playground에 대한 액세스를 제공하려면 나타나는 프롬프트에서 허용을 클릭합니다.
2단계에서 승인 코드를 토큰으로 교환을 클릭합니다.
오른쪽의 요청/응답 창 하단에 액세스 토큰 문자열이 표시됩니다.
{ "access_token": "ACCESS_TOKEN", "token_type": "Bearer", "expires_in": 3600 }여기서 ACCESS_TOKEN은 API 승인에 사용할 수 있는 OAuth 2.0 Bearer 토큰 문자열입니다.