도메인 제한 공유를 사용하면 도메인 또는 조직 리소스를 기반으로 리소스 공유를 제한할 수 있습니다. 도메인 제한 공유가 활성화된 경우 허용된 도메인 또는 조직에 속한 사용자만 Google Cloud 조직에서 IAM 역할을 부여받을 수 있습니다.
도메인별 공유 제한 방법
조직 정책 서비스를 사용하여 도메인 또는 조직 리소스를 기반으로 리소스 공유를 제한하는 방법에는 여러 가지가 있습니다.
iam.googleapis.com/AllowPolicy리소스를 참조하는 맞춤 조직 정책: 맞춤 조직 정책을 사용하여 특정 주 구성원 집합에만 역할이 부여되도록 허용할 수 있습니다.이 메서드에서는 다음 CEL 함수를 사용하여 조직에서 역할이 부여될 수 있는 사용자를 정의합니다.
조직의 모든 주 구성원에게 역할을 부여하도록 허용하려면
memberInPrincipalSet함수에서 조직의 주 구성원 집합을 지정하고 제약 조건에 조직의 주 구성원 집합을 포함합니다.이러한 CEL 함수를 사용하여 커스텀 조직 정책을 만드는 방법에 관한 자세한 내용은 커스텀 조직 정책을 사용하여 도메인 제한 공유 구현을 참고하세요.
iam.managed.allowedPolicyMembers관리 제약 조건: 이 관리 제약 조건을 적용하여 제약 조건에 나열된 주 구성원 및 주 구성원 집합에만 역할을 부여할 수 있습니다.이 관리 컨스트림을 사용하면 역할 부여를 허용하려는 주 구성원 및 주 구성원 집합을 나열할 수 있습니다. 그러나 이 방법은 맞춤 조직 정책을 사용하는 것보다 유연성이 떨어집니다. 예를 들어 구성원 유형을 기반으로 허용된 주 구성원을 구성하거나 특정 주 구성원에게 역할이 부여되지 않도록 할 수는 없습니다.
조직의 모든 주 구성원에게 역할을 부여하려면 제약 조건에 조직의 주 구성원 집합을 포함합니다.
이 제약조건을 설정하는 방법은
iam.managed.allowedPolicyMembers제약조건을 사용하여 도메인 제한 공유 구현을 참고하세요.iam.allowedPolicyMemberDomains사전 정의된 제약조건: 이 사전 정의된 제약조건을 적용하여 조직의 주 구성원에게만 역할을 부여하도록 허용할 수 있습니다. 조직 리소스 ID 또는 Google Workspace 고객 ID를 기반으로 액세스를 제한할 수 있습니다. 이러한 식별자의 차이점을 확인하려면 이 페이지의 조직 리소스 ID와 Google Workspace 고객 ID 비교를 참고하세요.이 제약조건을 사용하면 특정 사용자에 대한 예외를 구성할 수 없습니다. 예를 들어
iam.allowedPolicyMemberDomains제약조건을 적용하는 조직의 서비스 에이전트에 역할을 부여해야 한다고 가정해 보겠습니다. 서비스 상담사는 Google에서 생성하고 관리하므로 조직, Google Workspace 계정 또는 Cloud ID 도메인의 일부가 아닙니다. 따라서 서비스 에이전트에 역할을 부여하려면 제약 조건을 사용 중지한 후 역할을 부여한 다음 제약 조건을 다시 사용 설정해야 합니다.폴더 또는 프로젝트 수준에서 조직 정책을 재정의하여 어떤 폴더 또는 프로젝트에서 어떤 사용자에게 역할을 부여할 수 있는지 변경할 수 있습니다. 자세한 내용은 프로젝트의 조직 정책 재정의를 참고하세요.
이 제약조건을 설정하는 방법은
iam.allowedPolicyMemberDomains제약조건을 사용하여 도메인 제한 공유 구현을 참고하세요.
도메인 제한 공유 작동 방식
조직 정책을 사용하여 도메인 제한 공유를 적용하는 경우 지정된 도메인 및 개인 외부의 주 구성원에게는 조직에서 IAM 역할이 부여될 수 없습니다.
다음 섹션에서는 조직에서 도메인 제한 공유 제약조건이 작동하는 방식에 관한 몇 가지 주요 세부정보를 간략히 설명합니다.
제약조건은 소급 적용되지 않습니다.
조직 정책 제약조건은 소급 적용되지 않습니다. 도메인 제한이 설정되면 이전 변경사항이 아니라 해당 시점 이후의 정책 변경사항에 적용됩니다.
예를 들어 관련된 두 조직인 examplepetstore.com 및 altostrat.com를 생각해 보겠습니다. examplepetstore.com ID에 altostrat.com에서 IAM 역할을 부여했습니다. 나중에 도메인별로 ID를 제한하기로 결정하고 altostrat.com에 도메인 제한 제약조건이 포함된 조직 정책을 구현했습니다. 이 경우 기존 examplepetstore.com ID는 altostrat.com에서 액세스 권한을 잃지 않습니다. 그때부터는 altostrat.com 도메인의 ID에만 IAM 역할을 부여할 수 있습니다.
IAM 정책이 설정될 때마다 제약조건이 적용됩니다.
도메인 제한 제약조건은 IAM 정책이 설정된 모든 작업에 적용됩니다. 여기에는 자동 작업도 포함됩니다. 예를 들어 제약조건은 서비스 에이전트가 다른 작업에 대한 응답으로 변경하는 사항에 적용됩니다. 예를 들어 BigQuery 데이터 세트를 가져오는 자동화된 서비스가 있는 경우 BigQuery 서비스 에이전트는 새로 생성된 데이터 세트에 대한 IAM 정책을 변경합니다. 이 작업은 도메인 제한 제약조건에 의해 제한되고 차단됩니다.
제약조건에 도메인이 자동으로 포함되지 않음
조직 도메인은 도메인 제한 제약조건을 설정할 때 정책 허용 목록에 자동으로 추가되지 않습니다. 도메인의 주 구성원에게 조직의 IAM 역할을 부여하려면 도메인을 명시적으로 추가해야 합니다. 도메인을 추가하지 않고 도메인의 모든 사용자에서 조직 정책 관리자 역할 (roles/orgpolicy.policyAdmin)이 삭제되면 조직 정책에 액세스할 수 없게 됩니다.
Google 그룹 및 도메인 제한 공유
도메인 제한 제약조건이 조직에 적용된 경우 그룹이 허용된 도메인에 속하더라도 새로 생성된 Google 그룹스에 역할을 부여하지 못할 수 있습니다. 그룹이 Google Cloud를 통해 완전히 전파되려면 최대 24시간까지 걸릴 수 있기 때문입니다. 새로 만든 Google 그룹에 역할을 부여할 수 없으면 24시간을 기다린 후 다시 시도하세요.
또한 그룹이 허용 도메인에 속하는지 여부를 평가할 때 IAM은 그룹의 도메인만 평가합니다. 그룹 구성원의 도메인은 평가하지 않습니다. 따라서 프로젝트 관리자가 Google 그룹스에 외부 구성원을 추가한 후 이러한 Google 그룹스에 역할을 부여함으로써 도메인 제한 제약조건을 우회할 수 있습니다.
프로젝트 관리자가 도메인 제한 제약조건을 우회하지 않도록 하려는 경우 Google Workspace 관리자는 그룹 소유자가 Google Workspace 관리자 패널에서 도메인 외부의 구성원을 허용할 수 없도록 해야 합니다.
조직 리소스 ID와 Google Workspace 고객 ID 비교
iam.allowedPolicyMemberDomains 사전 정의된 제약조건을 사용하여 도메인 제한 공유를 구현하는 경우 조직 리소스 ID 또는 Google Workspace 고객 ID를 기반으로 액세스를 제한할 수 있습니다.
조직 리소스 ID를 사용하면 다음 주 구성원에게 조직에서 역할이 부여될 수 있습니다.
- 조직의 모든 직원 ID 풀
- 조직의 모든 프로젝트에 있는 모든 서비스 계정과 워크로드 아이덴티티 풀
- 조직의 리소스와 연결된 모든 서비스 에이전트
Google Workspace 고객 ID를 사용하면 다음 사용자에게 조직에서 역할이 부여될 수 있습니다.
- Google Workspace 고객 ID와 연결된 모든 도메인(하위 도메인 포함)의 모든 ID
- 조직의 모든 직원 ID 풀
- 조직의 모든 프로젝트에 있는 모든 서비스 계정과 워크로드 아이덴티티 풀
- 조직의 리소스와 연결된 모든 서비스 에이전트
특정 하위 도메인에 대해 도메인 제한 공유를 구현하려면 하위 도메인마다 별도의 Google Workspace 계정을 만들어야 합니다. 여러 Google Workspace 계정을 관리하는 방법에 관한 자세한 내용은 여러 조직 관리를 참고하세요.