사용 가능한 제약조건
다음 제약조건을 사용하는 정책을 지정할 수 있습니다.
여러 Google Cloud 서비스에서 지원하는 제약조건
제약조건 | 설명 | 지원되는 프리픽스 |
---|---|---|
허용된 작업자 풀(Cloud Build) | 이 목록 제약조건은 Cloud Build를 사용하여 빌드를 수행하는 데 허용되는 Cloud Build 작업자 풀 집합을 정의합니다. 이 제약조건이 적용되면 허용되는 값 중 하나와 일치하는 작업자 풀에서 빌드해야 합니다. 기본적으로 Cloud Build는 모든 작업자 풀을 사용할 수 있습니다. 허용된 작업자 풀 목록은 다음 형식이어야 합니다.
constraints/cloudbuild.allowedWorkerPools |
"is:" , "under:" |
Google Cloud Platform - 리소스 위치 제한 | 이 목록 제약조건은 위치 기반 Google Cloud 리소스를 만들 수 있는 위치 집합을 정의합니다. 기본적으로 모든 위치에 리소스를 만들 수 있습니다. 이 제약조건에 대한 정책은 asia 및 europe 과 같은 멀티 리전, us-east1 또는 europe-west1 과 같은 리전을 허용 또는 거부된 위치로 지정할 수 있습니다. 멀티 리전을 허용하거나 거부한다고 해서 포함된 모든 하위 위치도 허용되거나 거부되는 것은 아닙니다. 예를 들어 정책에서 일부 스토리지 서비스와 같은 멀티 리전 리소스를 참조하는 us 멀티 리전을 거부해도 us-east1 리전 위치에 리소스를 계속 만들 수 있습니다. 반면에 in:us-locations 그룹에는 us 리전 내의 모든 위치가 포함되며 모든 리전을 차단하는 데 사용할 수 있습니다. 값 그룹을 사용하여 정책을 정의하는 것이 좋습니다. 값 그룹, 즉 리소스 위치를 정의하는 간단한 방법을 제공하기 위해 Google이 선별한 위치 모음을 지정할 수 있습니다. 조직 정책에 값 그룹을 사용하려면 값 그룹 앞에 in: 문자열로 항목에 프리픽스를 지정하세요. 예를 들어 미국에만 물리적으로 위치하는 리소스를 만들려면 허용되는 값 목록에 in:us-locations 를 설정하세요.위치 정책에 suggested_value 필드가 사용되는 경우에는 리전이어야 합니다. 지정된 값이 리전이면 영역 리소스의 UI에 해당 리전의 영역이 자동으로 입력될 수 있습니다. constraints/gcp.resourceLocations |
"is:" , "in:" |
CMEK용 KMS CryptoKey를 제공할 수 있는 프로젝트 제한 | 이 목록 제약조건은 리소스를 만들 때 고객 관리 암호화 키(CMEK)를 제공하는 데 사용할 수 있는 프로젝트를 정의합니다. 이 제약조건을 Allow 로 설정하면(즉, 이 프로젝트의 CMEK 키만 허용) 새로 만든 리소스를 보호하는 데 다른 프로젝트의 CMEK 키를 사용할 수 없습니다. 이 제약조건의 값은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , projects/PROJECT_ID 형식으로 지정해야 합니다. 이 제약조건을 시행하는 지원되는 서비스는 다음과 같습니다.
Deny 또는 Deny All 로 설정하는 것은 허용되지 않습니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 적용되도록 하려면 허용되지 않는 프로젝트의 KMS CryptoKey가 포함된 기존 CMEK Google Cloud 리소스를 수동으로 재구성하거나 다시 만들어야 합니다. constraints/gcp.restrictCmekCryptoKeyProjects |
"is:" , "under:" |
CMEK 없이 리소스를 만들 수 있는 서비스 제한 | 이 목록 제약조건은 고객 관리 암호화 키(CMEK)가 필요한 서비스를 정의합니다. 이 제약조건을 Deny (즉, CMEK를 사용하지 않는 리소스 생성 거부)로 설정하려면 지정된 서비스에서 새로 생성된 리소스를 CMEK 키로 보호해야 합니다. 이 제약조건에서 설정할 수 있는 지원되는 서비스는 다음과 같습니다.
Deny All 로 설정하는 것은 허용되지 않습니다. 이 제약조건을 Allow 로 설정하는 것은 허용되지 않습니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 적용되도록 하려면 CMEK가 아닌 기존 Google Cloud 리소스를 수동으로 재구성하거나 다시 만들어야 합니다. constraints/gcp.restrictNonCmekServices |
"is:" |
리소스 서비스 사용량 제한 | 이 제약조건은 조직, 폴더 또는 프로젝트 내에서 사용할 수 있는 Google Cloud 리소스 서비스(예: compute.googleapis.com 및 storage.googleapis.com)의 집합을 정의합니다. 기본적으로 모든 Google Cloud 리소스 서비스가 허용됩니다. 자세한 내용은 https://cloud.google.com/resource-manager/help/organization-policy/restricting-resources를 참조하세요. constraints/gcp.restrictServiceUsage |
"is:" |
리전별 리소스에서 IAP(Identity-Aware Proxy) 사용 설정 중지 | 이 불리언 제약조건이 적용되면 리전별 리소스에서 IAP(Identity-Aware Proxy) 사용 설정이 중지됩니다. 전역 리소스에서 IAP를 사용 설정하는 것은 이 제약조건으로 제한되지 않습니다. 기본적으로 리전별 리소스에서 IAP를 사용 설정할 수 있습니다. constraints/iap.requireRegionalIapWebDisabled |
"is:" |
허용된 Google Cloud API 및 서비스 제한 | 이 목록 제약조건은 이 리소스에서 사용 설정할 수 있는 서비스 및 서비스 API의 집합을 제한합니다. 기본적으로 모든 서비스가 허용됩니다. 서비스의 거부 목록이 아래 목록에 속해야 합니다. 이 제약조건을 통해 API를 명시적으로 사용 설정하는 것은 현재 지원되지 않습니다. 다음 목록에 없는 API를 지정하면 오류가 발생합니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 이 제약조건을 시행할 때 리소스에서 이미 사용 설정되어 있는 서비스는 사용 설정된 상태로 유지됩니다. constraints/serviceuser.services |
"is:" |
특정 서비스에 대한 제약조건
서비스 | 제약조건 | 설명 | 지원되는 프리픽스 |
---|---|---|---|
Vertex AI Workbench | Vertex AI Workbench 노트북 및 인스턴스의 액세스 모드 정의 | 이 목록 제약조건은 적용되는 경우 Vertex AI Workbench 노트북 및 인스턴스에 허용되는 액세스 모드를 정의합니다. 허용 또는 거부 목록에서는 service-account 모드로 여러 사용자를 지정하거나 single-user 모드로 단일 사용자 액세스를 지정할 수 있습니다. 허용되거나 거부되는 액세스 모드를 명시적으로 나열해야 합니다. constraints/ainotebooks.accessMode |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 인스턴스에서 파일 다운로드 사용 중지 | 이 불리언 제약조건이 적용되면 파일 다운로드 옵션이 사용 설정된 Vertex AI Workbench 인스턴스가 생성되지 않습니다. 기본적으로 파일 다운로드 옵션은 모든 Vertex AI Workbench 인스턴스에서 사용 설정할 수 있습니다. constraints/ainotebooks.disableFileDownloads |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에서 루트 액세스 사용 중지 | 이 불리언 제약조건이 적용되면 새로 생성된 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에서 루트 액세스를 사용 설정할 수 없습니다. 기본적으로 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스는 루트 액세스를 사용 설정할 수 있습니다. constraints/ainotebooks.disableRootAccess |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 인스턴스에서 터미널 사용 중지 | 이 불리언 제약조건이 적용되면 터미널이 사용 설정된 Vertex AI Workbench 인스턴스가 생성되지 않습니다. 기본적으로 터미널은 Vertex AI Workbench 인스턴스에서 사용 설정할 수 있습니다. constraints/ainotebooks.disableTerminal |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 노트북 및 인스턴스에서 환경 옵션 제한 | 이 목록 제약조건은 해당 제약조건이 적용되는 새 Vertex AI Workbench 노트북과 인스턴스를 만들 때 사용자가 선택할 수 있는 VM 및 컨테이너 이미지 옵션을 정의합니다. 허용되거나 거부되는 옵션이 명시적으로 나열되어야 합니다. VM 인스턴스의 예상 형식은 ainotebooks-vm/PROJECT_ID/IMAGE_TYPE/CONSTRAINED_VALUE 입니다. IMAGE_TYPE을 image-family 또는 image-name 으로 바꾸세요. 예시: ainotebooks-vm/deeplearning-platform-release/image-family/pytorch-1-4-cpu , ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 .컨테이너 이미지의 예상 형식은 ainotebooks-container/CONTAINER_REPOSITORY:TAG 입니다. 예시: ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:latest , ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15:m48 . constraints/ainotebooks.environmentOptions |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에 자동 예약 업그레이드 필요 | 이 부울 제약조건이 적용된 경우 새로 생성된 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스에 자동 업그레이드 일정이 설정되어 있어야 합니다. '노트북 업그레이드-일정' 메타데이터 플래그를 사용하여 자동 업그레이드의 크론 일정을 지정하여 자동 업그레이드 일정을 정의할 수 있습니다. 예시: `--metadata=notebook-upgrade-schedule="00 19 * * MON"` constraints/ainotebooks.requireAutoUpgradeSchedule |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 액세스 제한 | 이 불리언 제약조건이 적용되면 새로 생성된 Vertex AI Workbench 노트북 및 인스턴스로 공개 IP 액세스가 제한됩니다. 기본적으로 공개 IP는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다. constraints/ainotebooks.restrictPublicIp |
"is:" |
Vertex AI Workbench | 새 Vertex AI Workbench 인스턴스에서 VPC 네트워크 제한 | 이 목록 제약조건은 이 제약조건이 적용되는 새 Vertex AI Workbench 인스턴스를 만들 때 사용자가 선택할 수 있는 VPC 네트워크를 정의합니다. 기본적으로 Vertex AI Workbench 인스턴스는 모든 VPC 네트워크로 만들 수 있습니다. 네트워크의 허용 또는 거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다. constraints/ainotebooks.restrictVpcNetworks |
"is:" , "under:" |
App Engine | 소스 코드 다운로드 사용 중지 | 이전에 App Engine에 업로드한 소스 코드의 코드 다운로드를 사용 중지합니다. constraints/appengine.disableCodeDownload |
"is:" |
App Engine | 런타임 배포 예외(App Engine) | 이 목록 제약조건은 지원 종료 후에도 배포할 수 있는 App Engine 표준 레거시 런타임(Python 2.7, PHP 5.5, 자바 8) 집합을 정의합니다. App Engine 표준 기존 런타임은 2024년 1월 30일에 지원이 종료됩니다. 일반적으로 이 날짜 이후에 기존 런타임을 사용하여 애플리케이션을 배포하려고 시도하면 차단됩니다. App Engine 표준 런타임 지원 일정을 참조하세요. 이 제약조건을 '허용'으로 설정하면 런타임 지원 중단 날짜까지 지정한 기존 런타임의 App Engine 표준 배포 차단이 해제됩니다. 이 제약조건을 '모두 허용'으로 설정하면 런타임 지원 중단 날짜까지 모든 기존 런타임의 App Engine 표준 배포 차단이 해제됩니다. 지원이 종료된 런타임에는 정기 보안 및 유지보수 패치가 제공되지 않습니다. 정식 버전 런타임을 사용하도록 애플리케이션을 업그레이드하는 것이 좋습니다. constraints/appengine.runtimeDeploymentExemption |
"is:" |
BigQuery | Cloud AWS용 BigQuery Omni 사용 중지 | 이 부울 제약조건이 True 로 설정된 경우 사용자가 BigQuery Omni를 사용하여 이 제약조건이 적용되는 Amazon Web Services의 데이터를 처리할 수 없습니다. constraints/bigquery.disableBQOmniAWS |
"is:" |
BigQuery | Cloud Azure용 BigQuery Omni 사용 중지 | 이 부울 제약조건이 True 로 설정된 경우 사용자가 BigQuery Omni를 사용하여 이 제약조건이 적용되는 Microsoft Azure의 데이터를 처리할 수 없습니다. constraints/bigquery.disableBQOmniAzure |
"is:" |
Cloud Build | 허용된 통합(Cloud Build) | 이 목록 제약조건은 Google Cloud 외부의 서비스에서 웹훅을 수신하여 빌드를 수행하는 데 허용되는 Cloud Build 통합을 정의합니다. 이 제약조건이 적용되면 호스트가 허용된 값 중 하나와 일치하는 서비스의 웹훅만 처리됩니다. 기본적으로 Cloud Build는 활성 트리거가 하나 이상 있는 프로젝트의 모든 웹훅을 처리합니다. constraints/cloudbuild.allowedIntegrations |
"is:" |
Cloud Build | 기본 서비스 계정 생성 중지(Cloud Build) | 이 불리언 제약조건이 적용되면 기존 Cloud Build 서비스 계정을 만들 수 없습니다. constraints/cloudbuild.disableCreateDefaultServiceAccount |
"is:" |
Cloud Deploy | Cloud Deploy 서비스 라벨 중지 | 이 불리언 제약조건이 적용되면 Cloud Deploy에서 배포된 객체에 Cloud Deploy 식별자 라벨을 추가할 수 없게 됩니다. 기본적으로 Cloud Deploy 리소스를 식별하는 라벨은 출시 버전 생성 중에 배포된 객체에 추가됩니다. constraints/clouddeploy.disableServiceLabelGeneration |
"is:" |
Cloud Functions | 허용되는 인그레스 설정(Cloud Functions) | 이 목록 제약조건은 Cloud 함수(1세대)의 배포에 허용되는 인그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 인그레스 설정을 사용해야 합니다. 기본적으로 Cloud Functions는 모든 인그레스 설정을 사용할 수 있습니다. 인그레스 설정은 IngressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.Cloud Functions(2세대)의 경우 constraints/run.allowedIngress 제약조건을 사용하세요.constraints/cloudfunctions.allowedIngressSettings |
"is:" |
Cloud Functions | 허용되는 VPC 커넥터 이그레스 설정(Cloud Functions) | 이 목록 제약조건은 Cloud 함수(1세대)의 배포에 허용되는 VPC 커넥터 이그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 VPC 커넥터 이그레스 설정을 사용해야 합니다. 기본적으로 Cloud Functions는 모든 VPC 커넥터 이그레스 설정을 사용할 수 있습니다. VPC 커넥터 이그레스 설정은 VpcConnectorEgressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.Cloud Functions(2세대)의 경우 constraints/run.allowedVPCEgress 제약조건을 사용하세요.constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
"is:" |
Cloud Functions | VPC 커넥터 필요(Cloud Functions) | 이 불리언 제약조건은 Cloud 함수(1세대)를 배포할 때 VPC 커넥터 설정을 적용합니다. 이 제약조건이 적용되면 함수에서 VPC 커넥터를 지정해야 합니다. 기본적으로 Cloud 함수를 배포하기 위해 VPC 커넥터를 지정할 필요는 없습니다. constraints/cloudfunctions.requireVPCConnector |
"is:" |
Cloud Functions | 허용된 Cloud Functions 세대 | 이 목록 제약조건은 새 함수 리소스를 만드는 데 사용할 수 있는 허용된 Cloud 함수 세대 집합을 정의합니다. 유효한 값은 1stGen , 2ndGen 입니다. constraints/cloudfunctions.restrictAllowedGenerations |
"is:" |
Cloud KMS | 생성될 수 있는 KMS CryptoKey 유형을 제한합니다. | 이 목록 제약조건은 특정 계층 구조 노드에서 만들 수 있는 Cloud KMS 키 유형을 정의합니다. 이 제약조건이 적용되면 연결된 계층 구조 노드 내에 이 조직 정책에 지정된 KMS 키 유형만 생성될 수 있습니다. 이 조직 정책을 구성하면 가져오기 작업 및 키 버전의 보호 수준도 영향을 받습니다. 기본적으로 모든 키 유형이 허용됩니다. 유효한 값은 SOFTWARE , HSM , EXTERNAL , EXTERNAL_VPC 이며 거부 정책은 허용되지 않습니다. constraints/cloudkms.allowedProtectionLevels |
"is:" |
Cloud KMS | 키 폐기를 중지된 키 버전으로 제한 | 이 불리언 제약조건이 설정되면 중지된 상태의 키 버전만 폐기할 수 있습니다. 기본적으로 사용 설정된 상태인 키 버전과 사용 중지된 상태인 키 버전을 폐기할 수 있습니다. 이 제약조건이 설정되면 신규 및 기존 키 버전에 모두 적용됩니다. constraints/cloudkms.disableBeforeDestroy |
"is:" |
Cloud KMS | 키당 최소 폐기 예약 기간 | 이 목록 제약조건은 새 키를 만들 때 사용자가 지정할 수 있는 최소 폐기 예약 기간(일 단위)을 정의합니다. 제약조건이 적용된 후에는 폐기 예약 기간이 이 값보다 낮으면 키를 만들 수 없습니다. 기본적으로 모든 키에 대해 최소 폐기 예약 기간은 1일입니다. 단, 가져오기 전용 키의 경우 0일입니다. in:1d , in:7d , in:15d , in:30d , in:60d , in:90d 또는 in:120d 형식으로 허용되는 값을 하나만 지정할 수 있습니다. 예를 들어 constraints/cloudkms.minimumDestroyScheduledDuration을 in:15d 으로 설정하면 사용자가 16일 또는 31일과 같이 15일보다 높은 값으로 설정된 폐기 예약 기간 키를 사용하여 키를 만들 수 있지만, 14일과 같이 15일 미만의 폐기 예약 기간으로 키를 만들 수 없습니다. 계층 구조의 각 리소스에 대해 최소 폐기 예약 기간은 상위 정책을 상속 또는 교체하거나 상위 정책과 병합될 수 있습니다. 리소스의 정책이 상위 정책과 병합되면 리소스에서 유효한 최소 폐기 예약 기간 값은 리소스 정책에 지정된 값과 상위 항목의 유효 최소 폐기 예약 기간 중 가장 낮은 값입니다. 예를 들어 조직의 최소 폐기 예약 기간이 7일이고 하위 프로젝트의 정책이 in:15d 값으로 '상위 항목과 병합'으로 설정된 경우 프로젝트의 유효한 최소 폐기 예약 기간은 7일입니다. constraints/cloudkms.minimumDestroyScheduledDuration |
"is:" , "in:" |
Cloud Scheduler | 작업에 허용되는 대상 유형 | 이 목록 제약조건은 Cloud Scheduler 작업에 허용되는 App Engine HTTP, HTTP, Pubsub과 같은 대상 유형 목록을 정의합니다. 기본적으로 모든 작업 대상이 허용됩니다. 유효한 값은 APPENGINE , HTTP , PUBSUB 입니다. constraints/cloudscheduler.allowedTargetTypes |
"is:" |
Cloud SQL | Cloud SQL 인스턴스의 승인된 네트워크 제한 | 이 부울 제약조건이 True 로 설정된 경우 Cloud SQL 인스턴스에 프록시 해제된 데이터베이스 액세스를 위한 승인된 네트워크를 추가하지 못하도록 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 승인된 네트워크가 포함된 Cloud SQL 인스턴스는 계속 작동합니다. 기본적으로 승인된 네트워크는 Cloud SQL 인스턴스에 추가할 수 있습니다. constraints/sql.restrictAuthorizedNetworks |
"is:" |
Cloud SQL | 규정 준수 요구사항을 준수하도록 Cloud SQL의 진단 및 관리 액세스 경로를 사용 중지합니다. | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 일부 지원 측면이 손상되고 Assured Workloads에 대한 고급 주권 요구사항을 충족하지 않는 진단 및 기타 고객 지원 사용 사례의 모든 액세스 경로가 사용 중지됩니다. constraints/sql.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Cloud SQL | Cloud SQL 인스턴스의 미준수 워크로드를 제한합니다. | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 일부 지원 측면이 손상되고 프로비저닝된 리소스가 Assured Workloads의 고급 주권 요구사항을 엄격하게 따릅니다. 이 정책은 기존 프로젝트에 소급 적용되지만 이미 프로비저닝된 리소스에는 영향을 주지 않습니다(예: 정책 수정사항은 정책이 수정된 후 생성된 리소스에만 반영됩니다). constraints/sql.restrictNoncompliantResourceCreation |
"is:" |
Cloud SQL | Cloud SQL 인스턴스의 공개 IP 액세스 제한 | 이 부울 제약조건이 True 로 설정된 경우 Cloud SQL 인스턴스의 공개 IP 구성이 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 공개 IP 액세스가 포함된 Cloud SQL 인스턴스는 계속 작동합니다. 기본적으로 Cloud SQL 인스턴스에서는 공개 IP 액세스가 허용됩니다. constraints/sql.restrictPublicIp |
"is:" |
Google Cloud Marketplace | 공개 Marketplace 사용 중지 | 이 불리언 제약조건이 적용되면 조직 내 모든 사용자에 대해 Google Cloud Marketplace가 사용 중지됩니다. 기본적으로 공개 마켓플레이스 액세스는 조직에 사용 설정되어 있습니다. 주의: Google Private Marketplace를 사용 설정하지 않았으면 이 조직 정책을 시행하지 않는 것이 좋습니다. Google Private Marketplace를 사용 중지한 후 이 조직 정책을 시행하면 아무런 영향을 미치지 않습니다. constraints/commerceorggovernance.disablePublicMarketplace |
"is:" |
Google Cloud Marketplace | 마켓플레이스 서비스에 대한 액세스 제한 | 이 목록 제약조건은 Marketplace 조직에 허용되는 서비스 집합을 정의하며 아래 목록의 값만 포함할 수 있습니다.
PRIVATE_MARKETPLACE 가 허용된 값 목록에 있으면 Google Private Marketplace가 사용 설정됩니다. IAAS_PROCUREMENT 가 허용 값 목록에 있으면 모든 제품에 IaaS 조달 거버넌스 환경이 사용 설정됩니다. 기본적으로 Google Private Marketplace는 사용 중지되어 있고 IaaS 조달 거버넌스 환경은 사용 중지됩니다. 또한 IAAS_PROCUREMENT 정책은 마켓에 등록된 SaaS 제품과 관련된 요청 조달 거버넌스 기능과 별개로 작동합니다.중요: Google Private Marketplace를 사용 설정하려면 https://cloud.google.com//marketplace/docs/governance/enable-private-marketplace을 참조하세요. 구성 문제를 방지하려면 목록 제약조건에 PRIVATE_MARKETPLACE 를 수동으로 포함하지 마세요. constraints/commerceorggovernance.marketplaceServices |
"is:" |
Compute Engine | 허용되는 VLAN 연결 암호화 설정 | 이 목록 제약조건은 새 VLAN 연결에 허용되는 암호화 설정을 정의합니다. 기본적으로 VLAN 연결은 모든 암호화 설정을 사용하도록 허용됩니다. 암호화된 VLAN 연결만 만들도록 강제하려면 IPSEC를 허용 값으로 설정합니다. constraints/compute.allowedVlanAttachmentEncryption |
"is:" |
Compute Engine | 모든 IPv6 사용량 사용 중지 | 이 부울 제약조건이 True 로 설정된 경우 IPv6 사용량과 관련된 Google Compute Engine 리소스의 생성 또는 업데이트가 사용 중지됩니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 모든 프로젝트, 폴더, 조직에서 IPv6 사용량으로 Google Compute Engine 리소스를 만들거나 업데이트할 수 있습니다. 설정된 경우 이 제약조건의 우선순위는 disableVpcInternalIpv6 , disableVpcExternalIpv6 , disableHybridCloudIpv6 등의 다른 IPv6 조직 제약조건보다 높습니다. constraints/compute.disableAllIpv6 |
"is:" |
Compute Engine | Cloud Armor 보안 정책 생성 사용 중지 | 이 불리언 제약조건이 적용되면 Cloud Armor 보안 정책 생성이 중지됩니다. 기본적으로 모든 조직, 폴더 또는 프로젝트에서 Cloud Armor 보안 정책을 만들 수 있습니다. constraints/compute.disableGlobalCloudArmorPolicy |
"is:" |
Compute Engine | 전역 부하 분산 사용 중지 | 이 불리언 제약조건은 전역 부하 분산 제품 생성을 사용 중지합니다. 적용되면 전역 종속 항목이 없는 리전별 부하 분산 제품만 만들 수 있습니다. 기본적으로 전역 부하 분산의 생성이 허용됩니다. constraints/compute.disableGlobalLoadBalancing |
"is:" |
Compute Engine | 전역 자체 관리형 SSL 인증서 생성 사용 중지 | 이 불리언 제약조건이 적용되면 전역 자체 관리형 SSL 인증서 생성이 중지됩니다. Google 관리형 또는 리전별 자체 관리형 인증서를 만드는 것은 이 제약조건으로 사용 중지되지 않습니다. 기본적으로 모든 조직, 폴더 또는 프로젝트에서 전역 자체 관리형 SSL 인증서를 만들 수 있습니다. constraints/compute.disableGlobalSelfManagedSslCertificate |
"is:" |
Compute Engine | VM 직렬 포트에 대한 전역 액세스 사용 중지 | 이 불리언 제약조건은 제약조건이 적용되는 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에 대한 전역 직렬 포트 액세스를 사용 중지합니다. 기본적으로 고객은 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 적용하면 메타데이터 속성에 관계없이 Compute Engine VM에서 전역 직렬 포트 액세스가 사용 중지됩니다. 리전 직렬 포트 액세스는 이 제약조건의 영향을 받지 않습니다. 모든 직렬 포트 액세스를 사용 중지하려면 compute.disableSerialPortAccess 제약조건을 사용하세요. constraints/compute.disableGlobalSerialPortAccess |
"is:" |
Compute Engine | Compute Engine 메타데이터의 게스트 속성 사용 중지 | 이 부울 제약조건이 True 로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM의 게스트 속성에 대한 Compute Engine API 액세스가 사용 중지됩니다. 기본적으로 Compute Engine VM 게스트 속성에 액세스하는 데 Compute Engine API를 사용할 수 있습니다. constraints/compute.disableGuestAttributesAccess |
"is:" |
Compute Engine | 하이브리드 클라우드 IPv6 사용량 사용 중지 | 이 불리언 제약조건이 적용되면 stack_type 이 IPV4_IPV6 또는 IPV6_ONLY 이거나 gatewayIpVersion 이 IPv6 인 Interconnect 연결 및 Cloud VPN 게이트웨이를 포함한 하이브리드 클라우드 리소스를 만들거나 업데이트할 수 없습니다. Cloud Router 리소스에 적용하면 IPv6 경계 게이트웨이 프로토콜(BGP) 세션을 만드는 기능과 IPv4 BGP 세션을 통한 IPv6 경로 교환을 사용 설정하는 기능이 중지됩니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 프로젝트, 폴더, 조직에서 stack_type 이 IPV4_IPV6 인 하이브리드 클라우드 리소스를 만들거나 업데이트할 수 있습니다. constraints/compute.disableHybridCloudIpv6 |
"is:" |
Compute Engine | Instance Data Access API 사용 중지 | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 VM의 직렬 포트 출력에 액세스하고 VM UI에서 스크린샷을 캡처하는 GetSerialPortOutput 및 GetScreenshot API가 사용 중지됩니다. constraints/compute.disableInstanceDataAccessApis |
"is:" |
Compute Engine | 인터넷 네트워크 엔드포인트 그룹 사용 중지 | 이 부울 제약조건은 사용자가 INTERNET_FQDN_PORT 및 INTERNET_IP_PORT 의 type 으로 네트워크 엔드포인트 그룹(NEG)을 만들 수 있는지 여부를 제한합니다.기본적으로 적절한 IAM 권한이 있는 모든 사용자가 원하는 프로젝트에 인터넷 NEG를 만들 수 있습니다. constraints/compute.disableInternetNetworkEndpointGroup |
"is:" |
Compute Engine | VM 중첩 가상화 사용 중지 | 이 부울 제약조건이 True 로 설정된 조직, 프로젝트 또는 폴더에 속한 모든 Compute Engine VM에서 하드웨어 가속 중첩 가상화가 사용 중지됩니다.기본적으로 하드웨어 가속 중첩 가상화는 CPU가 Intel Haswell 이상인 플랫폼에서 실행되는 모든 Compute Engine VM에 허용됩니다. constraints/compute.disableNestedVirtualization |
"is:" |
Compute Engine | FIPS 호환 머신 유형 적용 | 이 불리언 제약조건이 적용되면 FIPS 요구사항을 준수하지 않는 VM 인스턴스 유형의 생성이 중지됩니다. constraints/compute.disableNonFIPSMachineTypes |
"is:" |
Compute Engine | 일반 사용자용 Private Service Connect 사용 중지 | 이 목록 제약조건은 사용자가 전달 규칙을 만들 수 없는 Private Service Connect 엔드포인트 유형 집합을 정의합니다. 이 제약조건이 적용되면 사용자는 Private Service Connect 엔드포인트 유형에 대한 전달 규칙을 만들지 못하도록 차단됩니다. 이 제약조건은 소급 적용되지 않습니다. 기본적으로 모든 Private Service Connect 엔드포인트 유형에 대해 전달 규칙을 만들 수 있습니다. Private Service Connect 엔드포인트의 허용/거부 목록은 아래 목록에 속해야 합니다.
GOOGLE_APIS 를 사용하면 Google API에 액세스하기 위한 Private Service Connect 전달 규칙 생성이 제한됩니다. 허용/거부 목록에서 SERVICE_PRODUCERS 를 사용하면 다른 VPC 네트워크의 서비스에 액세스하기 위한 Private Service Connect 전달 규칙 생성이 제한됩니다. constraints/compute.disablePrivateServiceConnectCreationForConsumers |
"is:" |
Compute Engine | VM 직렬 포트 액세스 사용 중지 | 이 부울 제약조건이 True 로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에 대한 직렬 포트 액세스가 사용 중지됩니다. 기본적으로 고객은 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 시행하면 메타데이터 속성에 관계없이 Compute Engine VM에서 직렬 포트 액세스가 사용 중지됩니다. constraints/compute.disableSerialPortAccess |
"is:" |
Compute Engine | Stackdriver에 VM 직렬 포트 로깅 사용 중지 | 이 부울 제약조건이 적용되는 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에서 Stackdriver의 직렬 포트 로깅이 사용 중지됩니다. 기본적으로 Compute Engine VM의 직렬 포트 로깅이 사용 중지되며, 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 선별적으로 사용 설정할 수 있습니다. 이 제약조건을 시행하면 새 Compute Engine VM이 생성될 때마다 새 VM의 직렬 포트 로깅이 사용 중지되며, 사용자가 기존 또는 새 VM의 메타데이터 속성을 True 로 변경할 수 없습니다. 직렬 포트 로깅을 중지하면 Google Kubernetes Engine 클러스터와 같이 이 기능을 사용하는 특정 서비스가 올바르게 작동하지 않을 수 있습니다. 이 제약조건을 적용하기 전에 프로젝트의 제품이 직렬 포트 로깅을 사용하지 않는지 확인하세요. constraints/compute.disableSerialPortLogging |
"is:" |
Compute Engine | '브라우저에서 SSH를 통해 연결' 사용 중지 | 이 불리언 제약조건은 Cloud 콘솔에서 OS 로그인을 사용하는 VM과 App Engine 가변형 환경 VM을 대상으로 '브라우저에서 SSH를 통해 연결' 도구를 사용 중지합니다. 적용되면 '브라우저에서 SSH를 통해 연결' 버튼이 사용 중지됩니다. 기본적으로 브라우저를 통한 SSH 연결 도구 사용이 허용됩니다. constraints/compute.disableSshInBrowser |
"is:" |
Compute Engine | VPC 외부 IPv6 사용량 사용 중지 | 이 부울 제약조건이 True 로 설정된 경우 stack_type 이 IPV4_IPV6 이고 ipv6_access_type 이 EXTERNAL 인 서브네트워크의 생성 또는 업데이트가 사용 중지됩니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 프로젝트, 폴더, 조직에 stack_type 이 IPV4_IPV6 인 서브네트워크를 만들거나 업데이트할 수 있습니다. constraints/compute.disableVpcExternalIpv6 |
"is:" |
Compute Engine | VPC 내부 IPv6 사용량 사용 중지 | 이 부울 제약조건이 True 로 설정된 경우 stack_type 이 IPV4_IPV6 이고 ipv6_access_type 이 INTERNAL 인 서브네트워크의 생성 또는 업데이트가 사용 중지됩니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 프로젝트, 폴더, 조직에 stack_type 이 IPV4_IPV6 인 서브네트워크를 만들거나 업데이트할 수 있습니다. constraints/compute.disableVpcInternalIpv6 |
"is:" |
Compute Engine | 규정 준수 메모리 보호 워크로드에 필요한 설정 사용 | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 제약조건은 VM 코어 메모리에 대한 잠재적인 액세스 경로를 제거하는 데 필요한 설정을 제어합니다. 적용되면 액세스 경로를 사용 중지하여 VM 코어 메모리에 액세스할 수 없게 하고 오류 발생 시 내부 데이터 수집을 제한합니다. constraints/compute.enableComplianceMemoryProtection |
"is:" |
Compute Engine | 리전의 할당량 정보를 표시하는 list 메서드의 장애 허용 동작 사용 중지 | 이 불리언 제약조건이 적용되면 regions.list , regions.get , projects.get 메서드의 서버 측 장애 발생 시 장애 허용 동작이 사용 중지됩니다. 따라서 할당량 정보를 사용할 수 없는 경우 이 제약조건이 적용되면 해당 메서드가 실패합니다. 기본적으로 메서드는 서버 측 장애를 계승하며 할당량 정보를 사용할 수 없으면 경고 메시지를 표시합니다. constraints/compute.requireBasicQuotaInResponse |
"is:" |
Compute Engine | OS 구성 필요 | 이 불리언 제약조건이 적용되면 모든 새 프로젝트에서 VM Manager(OS 구성)가 사용 설정됩니다. 새 프로젝트에서 만든 모든 VM 인스턴스에 VM Manager가 사용 설정됩니다. 신규 및 기존 프로젝트에서 이 제약조건을 설정하면 프로젝트 또는 인스턴스 수준에서 VM Manager를 사용 중지하는 메타데이터 업데이트가 방지됩니다. 기본적으로 VM Manager는 Compute Engine 프로젝트에서 사용 중지됩니다. constraints/compute.requireOsConfig |
"is:" |
Compute Engine | OS 로그인 필요 | 이 부울 제약조건이 true 로 설정된 경우 새로 만든 모든 프로젝트에 OS 로그인이 사용 설정됩니다. 새 프로젝트에서 만든 모든 VM 인스턴스에 OS 로그인이 사용 설정됩니다. 신규 및 기존 프로젝트에서 이 제약조건을 설정하면 프로젝트 또는 인스턴스 수준에서 OS 로그인을 사용 중지하는 메타데이터 업데이트가 방지됩니다. Compute Engine 프로젝트에서는 기본적으로 OS 로그인 기능이 사용 중지되어 있습니다. 노드 풀 버전 1.20.5-gke.2000 이상을 실행하는 비공개 클러스터의 GKE 인스턴스는 OS 로그인을 지원합니다. 공개 클러스터의 GKE 인스턴스는 현재 OS 로그인을 지원하지 않습니다. 이 제약조건이 공개 클러스터를 실행하는 프로젝트에 적용되는 경우 해당 프로젝트에서 실행하는 GKE 인스턴스가 제대로 작동하지 않을 수 있습니다. constraints/compute.requireOsLogin |
"is:" |
Compute Engine | 보안 VM | 이 부울 제약조건이 True 로 설정된 경우 모든 새 Compute Engine VM 인스턴스에서 보안 부팅, vTPM, 무결성 모니터링 옵션을 사용 설정하여 보안 디스크 이미지를 사용해야 합니다. 원하는 경우 생성 후에 보안 부팅을 사용 중지할 수 있습니다. 실행 중인 기존 인스턴스는 계속 평소와 같이 작동합니다. 기본적으로 Compute Engine VM 인스턴스를 만들기 위해 보안 VM 기능을 사용 설정할 필요가 없습니다. 보안 VM 기능을 사용하면 VM의 무결성을 확인할 수 있으며 유출 저항력이 생깁니다. constraints/compute.requireShieldedVm |
"is:" |
Compute Engine | SSL 정책 요구 | 이 목록 제약조건은 기본 SSL 정책을 사용할 수 있는 대상 SSL 프록시 및 대상 HTTPS 프록시 집합을 정의합니다. 기본적으로 모든 대상 SSL 프록시 및 대상 HTTPS 프록시는 기본 SSL 정책을 사용할 수 있습니다. 이 제약조건이 적용되면 새 대상 SSL 프록시 및 대상 HTTPS 프록시는 SSL 정책을 지정해야 합니다. 이 제약조건을 적용해도 소급 적용되지 않습니다. 기본 SSL 정책을 사용하는 기존 대상 프록시는 영향을 받지 않습니다. 대상 SSL 프록시 및 대상 HTTPS 프록시의 허용/거부 목록은 다음 형식으로 식별되어야 합니다.
constraints/compute.requireSslPolicy |
"is:" , "under:" |
Compute Engine | VPC 흐름 로그에 사전 정의된 정책 필요 | 이 목록 제약조건은 VPC 흐름 로그에 적용할 수 있는 사전 정의된 정책 집합을 정의합니다. 기본적으로 VPC 흐름 로그는 각 서브넷의 모든 설정으로 구성할 수 있습니다. 이 제약조건은 필수 최소 샘플링 레이트 범위 내에 있는 모든 서브네트워크에 흐름 로그 사용을 사용 설정합니다. 다음의 유효한 값 중에서 하나 이상을 지정하세요.
constraints/compute.requireVpcFlowLogs |
"is:" |
Compute Engine | Cloud NAT 사용량 제한 | 이 목록 제약조건은 Cloud NAT를 사용할 수 있는 서브네트워크의 집합을 정의합니다. 기본적으로 모든 서브네트워크가 Cloud NAT를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME 형식으로 식별되어야 합니다. constraints/compute.restrictCloudNATUsage |
"is:" , "under:" |
Compute Engine | 프로젝트 간 백엔드 버킷 및 백엔드 서비스 제한 | 이 목록 제약조건은 urlMap 리소스가 연결할 수 있는 BackendBucket 및 BackendService 리소스를 제한합니다. 이 제약조건은 urlMap 리소스와 동일한 프로젝트 내의 BackendBucket 및 BackendService에는 적용되지 않습니다. 사용자에게 compute.backendService.use, compute.regionBackendServices.use, compute.backendBuckets.use 권한이 있다면 기본적으로 한 프로젝트의 urlMap 리소스는 동일한 조직에 있는 다른 프로젝트의 호환되는 BackendBucket 및 BackendService를 참조할 수 있습니다. 충돌을 방지하려면 이 제약조건을 compute.restrictSharedVpcBackendServices 제약조건과 함께 사용하지 않는 것이 좋습니다. 허용 또는 거부 목록의 프로젝트, 폴더, 조직 리소스는 리소스 계층 구조에서 하위에 있는 모든 BackendBucket 및 BackendService에 영향을 미칩니다. 프로젝트, 폴더, 조직 리소스만 허용 또는 거부 목록에 포함될 수 있으며 다음 형식으로 지정되어야 합니다.
constraints/compute.restrictCrossProjectServices |
"is:" , "under:" |
Compute Engine | Dedicated Interconnect 사용 제한 | 이 목록 제약조건은 Dedicated Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다. constraints/compute.restrictDedicatedInterconnectUsage |
"is:" , "under:" |
Compute Engine | 부하 분산기 유형에 따라 부하 분산기 생성 제한 | 이 목록 제약조건은 조직, 폴더 또는 프로젝트용으로 만들 수 있는 부하 분산기 유형의 집합을 정의합니다. 허용되거나 거부되는 모든 부하 분산기 유형을 명시적으로 나열해야 합니다. 기본적으로 모든 유형의 부하 분산기 생성이 허용됩니다. 허용되거나 거부되는 값의 목록은 부하 분산기의 문자열 이름으로 식별되어야 하며 아래 목록의 값만 포함할 수 있습니다.
부하 분산기의 모든 내부 또는 모든 외부 유형을 포함하려면 in: 프리픽스 다음에 INTERNAL 또는 EXTERNAL을 사용하세요. 예를 들어 in:INTERNAL을 허용하면 위 목록에서 INTERNAL이 포함된 모든 부하 분산기 유형이 허용됩니다. constraints/compute.restrictLoadBalancerCreationForTypes |
"is:" , "in:" |
Compute Engine | 컨피덴셜 외 컴퓨팅 제한 | 이 목록 제약조건의 거부 목록은 컨피덴셜 컴퓨팅을 사용 설정한 상태에서 모든 새 리소스를 만들어야 하는 서비스 집합을 정의합니다. 기본적으로 새 리소스는 컨피덴셜 컴퓨팅을 사용할 필요가 없습니다. 이 목록 제약조건이 적용되면 리소스의 수명 주기 동안 컨피덴셜 컴퓨팅을 사용 중지할 수 없습니다. 기존 리소스는 계속 평소와 같이 작동합니다. 서비스의 거부 목록은 API의 문자열 이름으로 식별되어야 하며 아래 목록에서 명시적으로 거부된 값만 포함할 수 있습니다. API를 명시적으로 허용하는 것은 현재 지원되지 않습니다. 이 목록에 없는 API를 명시적으로 거부하면 오류가 발생합니다. 지원되는 API 목록: [compute.googleapis.com, container.googleapis.com] constraints/compute.restrictNonConfidentialComputing |
"is:" |
Compute Engine | Partner Interconnect 사용 제한 | 이 목록 제약조건은 Partner Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다. constraints/compute.restrictPartnerInterconnectUsage |
"is:" , "under:" |
Compute Engine | 허용되는 Private Service Connect 소비자 제한 | 이 목록 제약조건은 프로듀서의 조직 또는 프로젝트 내에서 서비스 연결에 연결할 수 있는 조직, 폴더, 프로젝트를 정의합니다. 허용 또는 거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID 또는 under:projects/PROJECT_ID 형식으로 식별되어야 합니다. 기본적으로 모든 연결이 허용됩니다. constraints/compute.restrictPrivateServiceConnectConsumer |
"is:" , "under:" |
Compute Engine | 허용되는 Private Service Connect 프로듀서 제한 | 이 목록 제약조건은 Private Service Connect 소비자가 연결할 수 있는 서비스 연결을 정의합니다. 이 제약조건은 엔드포인트 또는 백엔드가 참조하는 서비스 연결의 조직, 폴더 또는 프로젝트 리소스를 기반으로 Private Service Connect 엔드포인트 또는 백엔드의 배포를 차단합니다. 허용 또는 거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID 또는 under:projects/PROJECT_ID 형식으로 식별되어야 합니다. 기본적으로 모든 연결이 허용됩니다. constraints/compute.restrictPrivateServiceConnectProducer |
"is:" , "under:" |
Compute Engine | IP 주소 유형에 따라 프로토콜 전달 제한 | 이 목록 제약조건은 사용자가 만들 수 있는 대상 인스턴스가 있는 프로토콜 전달 규칙 객체의 유형을 정의합니다. 이 제약조건이 적용되면 지정된 유형에 따라 대상 인스턴스가 있는 새로운 전달 규칙 객체가 내부 또는 외부 IP 주소로 제한됩니다. 허용되거나 거부되는 유형을 명시적으로 나열해야 합니다. 기본적으로 대상 인스턴스가 있는 내부 및 외부 프로토콜 전달 규칙 객체를 둘 다 만드는 것이 허용됩니다. 허용되거나 거부되는 값의 목록은 아래 목록의 값만 포함해야 합니다.
constraints/compute.restrictProtocolForwardingCreationForTypes |
"is:" |
Compute Engine | 공유 VPC 백엔드 서비스 제한 | 이 목록 제약조건은 대상 리소스가 사용할 수 있는 공유 VPC 백엔드 서비스 집합을 정의합니다. 같은 프로젝트 내의 리소스에는 적용되지 않습니다. 기본적으로 대상 리소스는 모든 공유 VPC 백엔드 서비스를 사용할 수 있습니다. 백엔드 서비스의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID , projects/PROJECT_ID/regions/REGION/backendServices/BACKEND_SERVICE_NAME , projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME 형식으로 지정해야 합니다. 이 제약조건은 소급 적용되지 않습니다. constraints/compute.restrictSharedVpcBackendServices |
"is:" , "under:" |
Compute Engine | 공유 VPC 호스트 프로젝트 제한 | 이 목록 제약조건은 이 리소스나 그 아래에 있는 프로젝트에서 연결할 수 있는 공유 VPC 호스트 프로젝트의 집합을 정의합니다. 기본적으로 프로젝트는 동일한 조직의 모든 호스트 프로젝트에 연결할 수 있으며 이를 통해 서비스 프로젝트가 됩니다. 허용/거부 목록의 프로젝트, 폴더, 조직은 리소스 계층 구조에서 하위에 있는 모든 객체에 영향을 미치며 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID 또는 projects/PROJECT_ID 형식으로 지정되어야 합니다. constraints/compute.restrictSharedVpcHostProjects |
"is:" , "under:" |
Compute Engine | 공유 VPC 서브네트워크 제한 | 이 목록 제약조건은 대상 리소스가 사용할 수 있는 공유 VPC 서브네트워크의 집합을 정의하며 같은 프로젝트 내의 리소스에는 적용되지 않습니다. 기본적으로 대상 리소스는 모든 공유 VPC 서브네트워크를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME 형식으로 지정해야 합니다. constraints/compute.restrictSharedVpcSubnetworks |
"is:" , "under:" |
Compute Engine | VPC 피어링 사용 제한 | 이 목록 제약조건은 이 프로젝트, 폴더 또는 조직에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 각 피어링 끝단에 피어링 권한이 있어야 합니다. 기본적으로 한 네트워크의 네트워크 관리자는 다른 네트워크와 피어링할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다. constraints/compute.restrictVpcPeering |
"is:" , "under:" |
Compute Engine | VPN 피어 IP 제한 | 이 목록 제약조건은 VPN 피어 IP로 구성할 수 있는 유효한 IP 주소의 집합을 정의합니다. 기본적으로 모든 IP가 VPC 네트워크의 VPN 피어 IP가 될 수 있습니다. IP 주소의 허용/거부 목록은 IP_V4_ADDRESS 또는 IP_V6_ADDRESS 형식의 유효한 IP 주소로 지정되어야 합니다. constraints/compute.restrictVpnPeerIPs |
"is:" |
Compute Engine | 새 프로젝트의 내부 DNS 설정을 영역 DNS 전용으로 설정 | `True`로 설정하면 새로 만든 프로젝트는 기본적으로 영역 DNS를 사용합니다. 기본적으로 이 제약조건은 'False'로 설정되며 새로 만든 프로젝트는 기본 DNS 유형을 사용합니다. constraints/compute.setNewProjectDefaultToZonalDNSOnly |
"is:" |
Compute Engine | 공유된 예약 소유자 프로젝트 | 이 목록 제약조건은 조직에서 공유된 예약을 만들고 소유할 수 있는 프로젝트 집합을 정의합니다. 공유된 예약은 로컬 예약과 비슷하지만 소유자 프로젝트에서만 사용할 수 있는 로컬 예약과는 달리 리소스 계층 구조의 다른 Compute Engine 프로젝트에서 사용할 수 있습니다. 공유 예약 예약에 액세스하도록 허용된 프로젝트 목록은 projects/PROJECT_NUMBER 또는 under:projects/PROJECT_NUMBER 형식이어야 합니다. constraints/compute.sharedReservationsOwnerProjects |
"is:" , "under:" |
Compute Engine | 기본 네트워크 생성 건너뛰기 | 이 부울 제약조건이 True 로 설정된 경우, Google Cloud Platform 프로젝트 리소스 생성 도중 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 프로젝트 리소스를 만들 때 기본 네트워크 및 지원 리소스가 자동으로 생성됩니다.constraints/compute.skipDefaultNetworkCreation |
"is:" |
Compute Engine | Compute 저장소 리소스 사용 제한(Compute Engine 디스크, 이미지, 스냅샷) | 이 목록 제약조건은 Compute Engine의 저장소 리소스를 사용하도록 허용되는 프로젝트 집합을 정의합니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 Compute Engine 리소스에 액세스할 수 있습니다. 이 제약조건을 사용하는 경우 사용자는 Cloud IAM 권한이 있어야 하며 제약 조건이 이 사용자의 리소스 액세스를 제한해서는 안 됩니다. 허용 또는 거부 목록에 지정된 프로젝트, 폴더, 조직은 under:projects/PROJECT_ID , under:folders/FOLDER_ID , under:organizations/ORGANIZATION_ID 형식이어야 합니다. constraints/compute.storageResourceUseRestrictions |
"is:" , "under:" |
Compute Engine | 신뢰할 수 있는 이미지 프로젝트 정의 | 이 목록 제약조건은 Compute Engine의 이미지 저장소 및 디스크 인스턴스화에 사용할 수 있는 프로젝트 집합을 정의합니다. 기본적으로 이미지를 사용자와 공개적으로 또는 명시적으로 공유하는 모든 프로젝트의 이미지에서 인스턴스를 만들 수 있습니다. 게시자 프로젝트의 허용/거부 목록은 projects/PROJECT_ID 형식의 문자열이어야 합니다. 이 제약조건이 활성 상태이면 신뢰할 수 있는 프로젝트의 이미지만 새 인스턴스의 부팅 디스크 소스로 허용됩니다.constraints/compute.trustedImageProjects |
"is:" |
Compute Engine | VM IP 전달 제한 | 이 목록 제약조건은 IP 전달을 사용 설정할 수 있는 VM 인스턴스의 집합을 정의합니다. 기본적으로 모든 VM이 모든 가상 네트워크에서 IP 전달을 사용 설정할 수 있습니다. VM 인스턴스는 under:organizations/ORGANIZATION_ID , under:folders/FOLDER_ID , under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 형식으로 지정되어야 합니다. 이 제약조건은 소급 적용되지 않습니다. constraints/compute.vmCanIpForward |
"is:" , "under:" |
Compute Engine | VM 인스턴스에 허용되는 외부 IP 정의 | 이 목록 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스의 집합을 정의합니다. 기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다. VM 인스턴스의 허용/거부 목록은 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE constraints/compute.vmExternalIpAccess 형식의 VM 인스턴스 이름으로 식별되어야 합니다. |
"is:" |
Compute Engine | 전역 리소스에서 IAP(Identity-Aware Proxy) 사용 설정 중지 | 이 불리언 제약조건이 적용되면 전역 리소스에서 IAP(Identity-Aware Proxy) 사용 설정이 중지됩니다. 리전별 리소스에서 IAP를 사용 설정하는 것은 이 제약조건으로 제한되지 않습니다. 기본적으로 전역 리소스에서 IAP를 사용 설정할 수 있습니다. constraints/iap.requireGlobalIapWebDisabled |
"is:" |
Google Kubernetes Engine | GKE에서 진단 관리 액세스 경로를 사용 중지합니다. | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 Assured Workloads 요구사항을 준수하지 않는 진단 및 기타 고객 지원 사용 사례의 모든 액세스 경로가 사용 중지됩니다. constraints/container.restrictNoncompliantDiagnosticDataAccess |
"is:" |
Dataform | Dataform의 git 원격 저장소 제한 | 이 목록 제약조건은 Dataform 프로젝트의 저장소가 통신할 수 있는 원격 저장소 집합을 정의합니다. 모든 원격 저장소와의 통신을 차단하려면 값을 Deny all 로 설정합니다. 이 제약조건은 소급 적용되며 이를 위반하는 기존 저장소의 통신을 차단합니다. 항목은 Dataform에 제공된 것과 동일한 형식으로 신뢰할 수 있는 원격 저장소에 대한 링크여야 합니다.기본적으로 Dataform 프로젝트의 저장소는 모든 원격 저장소와 통신할 수 있습니다. constraints/dataform.restrictGitRemotes |
"is:" |
Datastream | Datastream - 공개 연결 방법 차단 | 기본적으로 공개 또는 비공개 연결 방법으로 Datastream 연결 프로필을 만들 수 있습니다. 이 조직 정책의 부울 제약조건이 적용되면 연결 프로필을 만드는 데 비공개 연결 방법(예: VPC 피어링)만 사용할 수 있습니다. constraints/datastream.disablePublicConnectivity |
"is:" |
필수 연락처 | 도메인 제한 연락처 | 이 목록 제약조건은 필수 연락처에 추가된 이메일 주소에 사용할 수 있는 도메인의 집합을 정의합니다. 기본적으로 모든 도메인의 이메일 주소를 필수 연락처에 추가할 수 있습니다. 허용/거부 목록에서 @example.com 형식의 도메인을 하나 이상 지정해야 합니다. 이 제약조건이 활성 상태이고 허용 값으로 구성된 경우 허용되는 도메인 목록의 항목 중 하나와 일치하는 서픽스가 있는 이메일 주소만 필수 연락처에 추가될 수 있습니다.이 제약조건은 기존 연락처 업데이트 또는 삭제에 영향을 주지 않습니다. constraints/essentialcontacts.allowedContactDomains |
"is:" |
필수 연락처 | 프로젝트 보안 연락처 사용 중지 | 이 불리언 제약조건을 적용하면 조직 정책 관리자가 조직 또는 폴더 수준에서 할당된 연락처만 보안 알림을 수신할 수 있도록 설정할 수 있습니다. 특히 이 제약조건을 적용하면 프로젝트 소유자 및 연락처 관리자가 해당 연락처에 프로젝트 리소스도 상위 항목으로 포함된 경우 SECURITY 또는 ALL 카테고리 중 하나를 포함하는 notification_category_subscriptions 필드를 사용하여 필수 연락처를 만들거나 업데이트할 수 없도록 차단됩니다. constraints/essentialcontacts.disableProjectSecurityContacts |
"is:" |
Firestore | 가져오기/내보내기에 Firestore 서비스 에이전트 필요 | 이 부울 제약조건이 적용된 경우 Firestore 서비스 에이전트를 사용하려면 Firestore 가져오기 및 내보내기가 필요합니다. 기본적으로 Firestore 가져오기 및 내보내기는 App Engine 서비스 계정을 사용할 수 있습니다. Firestore는 앞으로 App Engine 서비스 계정을 가져오기 및 내보내기에 사용하지 않으며 모든 계정을 Firestore 서비스 에이전트로 마이그레이션해야 합니다. 그 후에는 이 제약조건이 더 이상 필요하지 않습니다. constraints/firestore.requireP4SAforImportExport |
"is:" |
Cloud Healthcare | Cloud Healthcare API용 Cloud Logging 사용 중지 | 이 불리언 제약조건이 적용되면 Cloud Healthcare API용 Cloud Logging이 사용 중지됩니다. 감사 로그는 이 제약조건의 영향을 받지 않습니다. 제약조건이 적용되기 전에 Cloud Healthcare API용으로 생성된 Cloud 로그는 삭제되지 않으며 이러한 로그에 계속 액세스할 수 있습니다. constraints/gcp.disableCloudLogging |
"is:" |
Identity and Access Management | OAuth 2.0 액세스 토큰의 수명을 최대 12시간으로 연장하는 것을 허용합니다. | 이 목록 제약조건은 최대 12시간의 수명으로 OAuth 2.0 액세스 토큰을 부여받을 수 있는 서비스 계정의 집합을 정의합니다. 기본적으로 이러한 액세스 토큰의 최대 수명은 1시간입니다. 서비스 계정의 허용/거부 목록에서 서비스 계정 이메일 주소를 하나 이상 지정해야 합니다. constraints/iam.allowServiceAccountCredentialLifetimeExtension |
"is:" |
Identity and Access Management | 도메인 제한 공유 | 이 목록 제약조건은 IAM 정책에 주 구성원을 추가할 수 있는 하나 이상의 Cloud ID 또는 Google Workspace 고객 ID를 정의합니다. 기본적으로 모든 사용자 ID를 IAM 정책에 추가할 수 있습니다. 허용되는 값만 이 제약조건에 정의할 수 있고, 거부되는 값은 지원되지 않습니다. 이 제약조건이 활성 상태이면 허용되는 고객 ID에 속한 주 구성원만 IAM 정책에 추가할 수 있습니다. google.com 고객 ID를 이 목록에 추가하지 않아도 Google 서비스와 상호 운용됩니다. google.com을 추가하면 Google 직원 및 비프로덕션 시스템과의 공유가 허용되며, Google 직원과 데이터를 공유하는 용도로만 사용되어야 합니다. constraints/iam.allowedPolicyMemberDomains |
"is:" |
Identity and Access Management | 감사 로깅 예외 사용 중지 | 이 불리언 제약조건이 적용되면 감사 로깅에서 추가 주 구성원이 제외되지 않습니다. 이 제약조건은 제약조건을 적용하기 전에 존재하던 감사 로깅 예외에는 영향을 미치지 않습니다. constraints/iam.disableAuditLoggingExemption |
"is:" |
Identity and Access Management | 교차 프로젝트 서비스 계정 사용 중지 | 적용하면 서비스 계정과 동일한 프로젝트에서 실행되는 작업(vm, 함수 등)에만 ServiceAccountUser 역할을 사용하여 서비스 계정을 배포할 수 있습니다. constraints/iam.disableCrossProjectServiceAccountUsage |
"is:" |
Identity and Access Management | 서비스 계정 생성 사용 중지 | `True`로 설정할 경우 이 부울 제약조건은 서비스 계정의 생성을 사용 중지합니다. 기본적으로 서비스 계정은 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다. constraints/iam.disableServiceAccountCreation |
"is:" |
Identity and Access Management | 서비스 계정 키 생성 사용 중지 | `True`로 설정할 경우 이 부울 제약조건은 서비스 계정 외부 키의 생성을 사용 중지합니다. 기본적으로 서비스 계정 외부 키는 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다. constraints/iam.disableServiceAccountKeyCreation |
"is:" |
Identity and Access Management | 서비스 계정 키 업로드 사용 중지 | 'True'로 설정할 경우 이 부울 제약조건은 서비스 계정에 공개 키를 업로드하도록 허용하는 기능을 사용 중지합니다. 기본적으로 사용자는 Cloud IAM 역할 및 권한을 기반으로 서비스 계정에 공개 키를 업로드할 수 있습니다. constraints/iam.disableServiceAccountKeyUpload |
"is:" |
Identity and Access Management | 워크로드 아이덴티티 클러스터 생성 사용 중지 | 이 부울 제약조건이 `True`로 설정된 경우 생성 당시에 모든 새 GKE 클러스터에 워크로드 아이덴티티가 사용 중지되어야 합니다. 워크로드 아이덴티티가 이미 사용 설정된 기존 GKE는 계속 평소와 같이 작동합니다. 기본적으로 워크로드 아이덴티티는 모든 GKE 클러스터에 사용 설정될 수 있습니다. constraints/iam.disableWorkloadIdentityClusterCreation |
"is:" |
Identity and Access Management | 서비스 계정 키 만료 기간(시간) | 이 목록 제약조건은 서비스 계정 키 만료에 허용되는 최대 기간을 정의합니다. 기본적으로 생성된 키는 만료되지 않습니다. 허용되는 기간은 시간으로 지정되며 아래 목록에 있어야 합니다. 허용되는 값을 1개만 지정할 수 있고, 거부되는 값은 지원되지 않습니다. 이 목록에 없는 기간을 지정하면 오류가 발생합니다.
inheritFromParent=false 를 설정해야 합니다. 이 제약조건은 상위 정책과 병합할 수 없습니다. 제약조건 적용 시 소급 적용되지 않으며 기존 키가 변경되지 않습니다. constraints/iam.serviceAccountKeyExpiryHours |
"is:" |
Identity and Access Management | 서비스 계정 키 노출 응답 | 이 목록 제약조건은 Google에서 서비스 계정 키가 공개적으로 노출된 것으로 감지하면 수행되는 응답을 정의합니다. 기본적으로 응답은 없습니다. 허용되는 값은 DISABLE_KEY , WAIT_FOR_ABUSE 입니다. 이 목록에 명시적으로 포함되지 않은 값은 사용할 수 없습니다. 허용되는 값을 1개만 지정할 수 있고, 거부되는 값은 지원되지 않습니다. DISABLE_KEY 값을 허용하면 공개적으로 노출된 모든 서비스 계정 키가 자동으로 사용 중지되고 감사 로그에 항목이 생성됩니다. WAIT_FOR_ABUSE 값을 허용하면 이 보호 조치가 선택 해제되고 노출된 서비스 계정 키가 자동으로 사용 중지되지 않습니다. 그러나 Google Cloud는 노출된 서비스 계정 키가 플랫폼에 부정적인 영향을 미치는 방식으로 사용되는 경우 이를 사용 중지할 수 있지만 그렇게 할 것을 보장하지 않습니다. 이 제약조건을 적용하려면 Google Cloud 콘솔에서 상위 정책을 대체하도록 설정하거나 gcloud CLI를 사용하는 경우 정책 파일에서 inheritFromParent=false 를 설정합니다. 이 제약조건은 상위 정책과 병합할 수 없습니다. constraints/iam.serviceAccountKeyExposureResponse |
"is:" |
Identity and Access Management | Cloud IAM에서 워크로드 아이덴티티 제휴용으로 구성할 수 있는 허용된 AWS 계정 | Cloud IAM에서 워크로드 아이덴티티 제휴용으로 구성할 수 있는 AWS 계정 ID의 목록입니다. constraints/iam.workloadIdentityPoolAwsAccounts |
"is:" |
Identity and Access Management | Cloud IAM에서 워크로드의 허용된 외부 ID 공급업체 | URI/URL로 지정한 Cloud IAM 내 워크로드 인증에 대해 구성할 수 있는 ID 공급업체입니다. constraints/iam.workloadIdentityPoolProviders |
"is:" |
Anthos Service Mesh 관리 제어 영역 | Anthos Service Mesh 관리형 제어 영역에 허용되는 VPC 서비스 제어 모드 | 이 제약조건은 새 Anthos Service Mesh 관리형 제어 영역을 프로비저닝할 때 설정할 수 있는 VPC 서비스 제어 모드를 결정합니다. 유효한 값은 'NONE' 및 'COMPATIBLE'입니다. constraints/meshconfig.allowedVpcscModes |
"is:" |
Cloud Pub/Sub | Pub/Sub 메시지에 전송 중인 리전 적용 | 이 불리언 제약조건이 적용되면 생성 시 모든 새 Pub/Sub 주제의 MessageStoragePolicy::enforce_in_transit이 참으로 설정됩니다. 이렇게 하면 고객 데이터가 주제의 메시지 스토리지 정책에 지정된 허용 리전 내에서만 전송됩니다. constraints/pubsub.enforceInTransitRegions |
"is:" |
Resource Manager | 공유 VPC 프로젝트 선취권 삭제 제한 | 이 불리언 제약조건이 True 로 설정된 경우, 조직 수준의 권한 없이 공유 VPC 호스트 프로젝트 선취권을 삭제할 수 있는 사용자 집합을 제한합니다. 기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 공유 VPC 호스트 프로젝트 선취권을 삭제할 수 있습니다. 이 제약조건을 시행하려면 조직 수준에서 권한이 부여되어야 합니다. constraints/compute.restrictXpnProjectLienRemoval |
"is:" |
Resource Manager | 교차 프로젝트 서비스 계정 선취권 삭제 제한 | 이 부울 제약조건이 적용되면 사용자가 조직 수준의 권한 없이는 교차 프로젝트 서비스 계정 선취권을 삭제할 수 없습니다. 기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 교차 프로젝트 서비스 계정 선취권을 삭제할 수 있습니다. 이 제약조건을 적용하려면 조직 수준에서 권한이 부여되어야 합니다. constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
"is:" |
Resource Manager | 리소스 쿼리 공개 상태 제한 | 이 목록 제약조건이 조직 리소스에 적용되면 이 제약조건이 적용되는 조직의 도메인에 속한 사용자에게 나열 및 검색 메서드로 반환되는 Google Cloud 리소스의 집합이 정의됩니다. 리소스 선택 도구, 검색, 리소스 관리 페이지 등 Cloud Console의 다양한 부분에 어떤 리소스를 표시할지 제한하는 데 사용할 수 있습니다. 이 제약조건은 조직 수준에서만 평가됩니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다. constraints/resourcemanager.accessBoundaries |
"is:" , "under:" |
Resource Manager | 조직 간 이동을 위해 사용 설정된 서비스 허용 목록 필요 | 이 목록 제약조건은 서비스가 사용 설정된 프로젝트를 조직 간에 이동할 수 있는지 확인하는 역할을 합니다. 지원되는 서비스가 사용 설정된 리소스에 이 제약조건이 적용되어야 하며 허용되는 값에 포함된 지원되는 서비스를 조직 간에 이동할 수 있습니다. 현재 사용 가능한 지원되는 서비스 값의 목록은 다음과 같습니다.
이 제약조건은 constraints/resourcemanager.allowedExportDestinations 외에 추가적인 제어를 제공합니다. 이 list_constraint는 기본적으로 비어 있으며 내보낼 리소스에 지원되는 서비스가 사용 설정되지 않는 한 조직 간 이동을 차단하지 않습니다. 이 제약조건을 사용하면 다른 조직으로 이동할 때 더 주의가 필요한 기능을 사용하여 리소스를 보다 세밀하게 제어할 수 있습니다. 기본적으로 지원되는 서비스가 사용 설정된 리소스는 조직 간에 이동할 수 없습니다. constraints/resourcemanager.allowEnabledServicesForExport |
"is:" |
Resource Manager | 리소스 내보내기에 허용되는 대상 | 이 목록 제약조건은 리소스를 이동할 수 있는 외부 조직의 집합을 정의하고 그 외의 모든 조직으로 이동하는 것을 모두 거부합니다. 기본적으로 조직 간에 리소스를 이동할 수 없습니다. 이 제약조건이 리소스에 적용되는 경우 이 제약조건에서 명시적으로 허용하는 조직으로만 리소스를 이동할 수 있습니다. 조직 내의 이동에는 이 제약조건이 적용되지 않습니다. 이동 작업에는 일반적인 리소스 이동과 동일한 IAM 권한이 필요합니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다. constraints/resourcemanager.allowedExportDestinations |
"is:" , "under:" |
Resource Manager | 리소스 가져오기에 허용되는 소스 | 이 목록 제약조건은 리소스를 가져올 수 있는 외부 조직의 집합을 정의하고 그 외의 모든 조직에서 이동하는 것을 모두 거부합니다. 기본적으로 조직 간에 리소스를 이동할 수 없습니다. 이 제약조건이 리소스에 적용되는 경우 이 리소스 바로 아래에 있는 가져온 리소스를 제약조건에서 명시적으로 허용해야 합니다. 조직 내의 이동에는 이 제약조건이 적용되지 않습니다. 이동 작업에는 일반적인 리소스 이동과 동일한 IAM 권한이 필요합니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다. constraints/resourcemanager.allowedImportSources |
"is:" , "under:" |
Cloud Run | 허용되는 Binary Authorization 정책(Cloud Run) | 이 목록 제약조건은 Cloud Run 리소스에 지정될 수 있는 Binary Authorization 정책 이름의 집합을 정의합니다. 기본 정책을 허용하거나 허용하지 않으려면 `default` 값을 사용합니다. 하나 이상의 커스텀 플랫폼 정책을 허용하거나 허용하지 않으려면 이러한 정책의 리소스 ID를 별도로 추가해야 합니다. constraints/run.allowedBinaryAuthorizationPolicies |
"is:" |
Cloud Run | 허용되는 인그레스 설정(Cloud Run) | 이 목록 제약조건은 Cloud Run 서비스에 허용되는 인그레스 설정을 정의합니다. 이 제약조건이 적용되면 서비스에서는 허용되는 값 중 하나와 일치하는 인그레스 설정을 사용해야 합니다. 이 제약조건을 위반하는 인그레스 설정을 사용하는 기존 Cloud Run 서비스는 이 제약조건을 준수하도록 서비스의 인그레스 설정이 변경될 때까지 계속 업데이트될 수 있습니다. 서비스가 이 제약조건을 준수하면 이 제약조건에서 허용하는 인그레스 설정만 사용할 수 있습니다. 기본적으로 Cloud Run 서비스는 모든 인그레스 설정을 사용할 수 있습니다. 허용 목록에는 지원되는 인그레스 설정 값( all , internal , internal-and-cloud-load-balancing )이 포함되어야 합니다.constraints/run.allowedIngress |
"is:" |
Cloud Run | 허용되는 VPC 이그레스 설정(Cloud Run) | 이 목록 제약조건은 Cloud Run 리소스에 지정하도록 허용되는 VPC 이그레스 설정을 정의합니다. 이 제약조건이 적용되면 Cloud Run 리소스는 서버리스 VPC 액세스 커넥터 또는 직접 VPC 이그레스가 사용 설정된 상태로 배포되어야 하고 VPC 이그레스 설정이 허용된 값 중 하나와 일치해야 합니다. 기본적으로 Cloud Run 리소스는 지원되는 모든 값으로 VPC 이그레스 설정을 지정할 수 있습니다. 허용 목록에는 지원되는 VPC 이그레스 설정 값( private-ranges-only 및 all-traffic )이 포함되어야 합니다.기존 Cloud Run 서비스의 경우 모든 새 버전이 이 제약조건을 준수해야 합니다. 이 제약조건을 위반하는 트래픽을 제공하는 버전이 있는 기존 서비스는 이 제약조건을 위반하는 버전으로 트래픽을 계속 마이그레이션할 수 있습니다. 이 제약조건을 준수하는 버전이 서비스의 모든 트래픽을 제공하면 이후 트래픽 마이그레이션은 이 제약조건을 준수하는 버전에만 트래픽을 마이그레이션해야 합니다. constraints/run.allowedVPCEgress |
"is:" |
서비스 소비자 관리 | 기본 서비스 계정에 대한 자동 IAM 부여 사용 중지 | 이 부울 제약 조건이 적용되면 프로젝트에서 생성된 기본 App Engine 및 Compute Engine 서비스 계정에 계정을 만들 때 프로젝트에 대한 IAM 역할이 자동으로 부여되는 것이 방지됩니다. 기본적으로 이러한 서비스 계정은 생성될 때 자동으로 편집자 역할을 받습니다. constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
"is:" |
Service Control | TLS 버전 제한 | 이 제약조건은 제약조건이 적용되는 조직, 폴더, 프로젝트 또는 리소스 계층 구조에서 해당 리소스의 하위 요소에 사용할 수 없는 TLS 버전 집합을 정의합니다. 기본적으로 모든 TLS 버전이 허용됩니다. TLS 버전은 거부 목록에만 지정할 수 있으며 TLS_VERSION_1 또는 TLS_VERSION_1_1 형식으로 식별되어야 합니다.이 제약조건은 TLS를 사용하는 요청에만 적용됩니다. 암호화되지 않은 요청을 제한하는 데는 사용되지 않습니다. 자세한 내용은 https://cloud.google.com/assured-workloads/docs/restrict-tls-versions를 참조하세요. constraints/gcp.restrictTLSVersion |
"is:" |
Cloud Spanner | 규정 준수 워크로드에 고급 서비스 제어 사용 설정 | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 일부 지원 측면이 손상되고 프로비저닝된 리소스가 Assured Workloads의 고급 주권 요구사항을 엄격하게 따릅니다. 이 정책은 기존 프로젝트에 적용되지만 이미 프로비저닝된 리소스에는 영향을 주지 않습니다(예: 정책 수정사항은 정책이 수정된 후 생성된 리소스에만 반영됩니다). constraints/spanner.assuredWorkloadsAdvancedServiceControls |
"is:" |
Cloud Spanner | 선택한 위치가 없으면 Cloud Spanner 멀티 리전 중지 | 이 정책을 구성하거나 수정하지 마세요. 이 제약조건은 Assured Workloads 온보딩 중에 자동으로 구성되며 Assured Workloads의 고급 규제 제어용으로만 사용됩니다. 이 불리언 제약조건이 적용되면 위치를 선택하지 않은 경우 멀티 리전 인스턴스 구성을 사용하여 Spanner 인스턴스를 만들지 못하게 됩니다. 현재 Cloud Spanner는 위치 선택을 아직 지원하지 않으므로 모든 멀티 리전이 허용되지 않습니다. 향후 Spanner에서 사용자에게 멀티 리전용으로 위치를 선택할 수 있는 기능을 제공할 예정입니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 이미 생성된 Spanner 인스턴스는 영향을 받지 않습니다. constraints/spanner.disableMultiRegionInstanceIfNoLocationSelected |
"is:" |
Cloud Storage | Google Cloud Platform - 상세한 감사 로깅 모드 | 상세한 감사 로깅 모드가 적용되면 요청 및 응답이 둘 다 Cloud 감사 로그에 포함됩니다. 이 기능을 변경하면 반영되는 데 최대 10분이 걸릴 수 있습니다. 이 조직 정책은 SEC 규칙 17a-4(f), CFTC 규칙 1.31(c)-(d), FINRA 규칙 4511(c) 등의 규정 준수를 모색할 때 버킷 잠금과 함께 사용하는 것이 좋습니다. 이 정책은 현재 Cloud Storage에서만 지원됩니다. constraints/gcp.detailedAuditLoggingMode |
"is:" |
Cloud Storage | 공개 액세스 방지 적용 | 공개 액세스 방지를 적용하여 Cloud Storage 데이터가 공개적으로 노출되지 않도록 보호합니다. 이 거버넌스 정책은 allUsers 및 allAuthenticatedUsers 에 대한 액세스 권한을 부여하는 ACL 및 IAM 권한을 사용 중지하고 차단하여 공개 인터넷을 통해 기존 및 향후 리소스에 액세스할 수 없도록 합니다. 데이터가 공개적으로 노출되지 않도록 전체 조직(권장), 특정 프로젝트 또는 특정 폴더에 이 정책을 적용하세요.이 정책은 기존 공개 권한을 재정의합니다. 이 정책을 사용 설정하면 기존 버킷 및 객체에 대한 공개 액세스가 취소됩니다. constraints/storage.publicAccessPrevention |
"is:" |
Cloud Storage | Cloud Storage - 인증 유형 제한 | 제약조건은 Cloud Storage의 조직 내 모든 스토리지 리소스에 액세스할 수 없도록 제한된 인증 유형 집합을 정의합니다. 지원되는 값은 USER_ACCOUNT_HMAC_SIGNED_REQUESTS 및 SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS 입니다. 둘 다 포함하려면 in:ALL_HMAC_SIGNED_REQUESTS 를 사용합니다. constraints/storage.restrictAuthTypes |
"is:" , "in:" |
Cloud Storage | 보관 정책 기간(초) | 이 목록 제약조건은 Cloud Storage 버킷에 설정할 수 있는 보관 정책의 기간 집합을 정의합니다. 기본적으로 지정된 조직 정책이 없으면 Cloud Storage 버킷에 원하는 기간의 보관 정책을 사용할 수 있습니다. 허용되는 기간의 목록은 초 단위로 보관 정책을 나타내는 0보다 큰 양의 정숫값으로 지정해야 합니다. 조직 리소스에 있는 버킷의 모든 삽입, 업데이트, 패치 작업에는 제약조건과 일치하는 보관 정책 기간이 있어야 합니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 새 조직 정책이 시행되면 기존 버킷의 보관 정책은 변경되지 않고 유효한 상태로 유지됩니다. constraints/storage.retentionPolicySeconds |
"is:" |
Cloud Storage | 암호화되지 않은 HTTP 액세스 제한 | 이 불리언 제약조건이 적용되면 모든 스토리지 리소스에 대한 HTTP(암호화되지 않음) 액세스가 명시적으로 거부됩니다. 기본적으로 Cloud Storage XML API는 암호화되지 않은 HTTP 액세스를 허용합니다. Cloud Storage JSON API, gRPC, Cloud 콘솔은 Cloud Storage 리소스에 대한 암호화된 HTTP 액세스만 허용합니다. constraints/storage.secureHttpTransport |
"is:" |
Cloud Storage | Cloud Storage - 소프트 삭제 정책 보관 기간(초) | 이 제약조건은 해당 제약조건이 적용되는 Cloud Storage 버킷에 설정된 소프트 삭제 정책에 허용할 수 있는 보관 기간을 정의합니다. 이 제약조건이 적용되는 버킷의 모든 삽입, 업데이트 또는 패치 작업에는 제약조건과 일치하는 소프트 삭제 정책 기간이 있어야 합니다. 새 조직 정책을 적용하더라도 기존 버킷의 소프트 삭제 정책은 변경되지 않고 유효한 상태로 유지됩니다. 기본적으로 지정된 조직 정책이 없으면 Cloud Storage 버킷에 원하는 기간의 소프트 삭제 정책을 사용할 수 있습니다. constraints/storage.softDeletePolicySeconds |
"is:" |
Cloud Storage | 균일한 버킷 수준 액세스 권한 적용 | 이 부울 제약조건이 True 로 설정되면 버킷에서 균일한 버킷 수준 액세스 권한을 사용해야 합니다. 조직 리소스의 새 버킷에 균일한 버킷 수준 액세스 권한이 사용 설정되어야 하며, 조직 리소스의 기존 버킷은 균일한 버킷 수준 액세스 권한을 사용 중지할 수 없습니다. 이 제약조건을 시행해도 소급 적용되지 않습니다. 균일한 버킷 수준 액세스 권한이 사용 중지된 기존 버킷은 계속 이 권한이 사용 중지된 상태로 유지됩니다. 이 제약조건의 기본값은 False 입니다. 균일한 버킷 수준 액세스 권한을 적용하면 버킷의 Cloud Storage 객체에 할당된 ACL의 평가가 중지됩니다. 따라서 IAM 정책만 해당 버킷의 객체에 대한 액세스 권한을 부여합니다. constraints/storage.uniformBucketLevelAccess |
"is:" |
안내 가이드
개별 제약조건을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요.
제약조건 | 안내 가이드 |
---|---|
constraints/cloudbuild.allowedIntegrations |
조직 정책 기반 게이트 빌드 |
constraints/cloudfunctions.allowedIngressSettings |
VPC 서비스 제어 사용 |
constraints/cloudfunctions.allowedVpcConnectorEgressSettings |
VPC 서비스 제어 사용 |
constraints/cloudfunctions.requireVPCConnector |
VPC 서비스 제어 사용 |
constraints/gcp.restrictNonCmekServices |
CMEK 조직 정책 |
constraints/gcp.restrictCmekCryptoKeyProjects |
CMEK 조직 정책 |
constraints/gcp.restrictTLSVersion |
TLS 버전 제한 |
constraints/compute.restrictPrivateServiceConnectConsumer constraints/compute.restrictPrivateServiceConnectProducer |
Private Service Connect 소비자의 보안 관리 |
constraints/compute.restrictCloudNATUsage |
Cloud NAT 사용량 제한 |
constraints/compute.restrictLoadBalancerCreationForTypes |
Cloud Load Balancing 제약조건 |
constraints/compute.restrictProtocolForwardingCreationForTypes |
프로토콜 전달 제약조건 |
constraints/compute.restrictDedicatedInterconnectUsage constraints/compute.restrictPartnerInterconnectUsage |
Cloud Interconnect 사용 제한 |
constraints/compute.restrictVpnPeerIPs |
Cloud VPN 터널을 통해 피어 IP 주소 제한 |
constraints/compute.trustedImageProjects |
이미지에 대한 액세스 제한 |
constraints/compute.vmExternalIpAccess |
VM의 외부 IP 액세스 사용 중지 |
constraints/compute.requireVpcFlowLogs |
VPC 흐름 로그의 조직 정책 제약조건 |
constraints/dataform.restrictGitRemotes |
원격 저장소 제한 |
constraints/gcp.restrictServiceUsage |
리소스 사용량 제한 |
constraints/iam.allowedPolicyMemberDomains |
도메인별 ID 제한 |
constraints/iam.allowServiceAccountCredentialLifetimeExtension |
OAuth 2.0 액세스 토큰의 수명 연장 |
constraints/iam.disableCrossProjectServiceAccountUsage |
다른 프로젝트의 리소스에 서비스 계정 연결 |
constraints/iam.disableServiceAccountCreation |
서비스 계정 생성 제한 |
constraints/iam.disableServiceAccountKeyCreation |
서비스 계정 키 생성 제한 |
constraints/iam.disableServiceAccountKeyUpload |
서비스 계정 키 업로드 제한 |
constraints/iam.disableWorkloadIdentityClusterCreation |
워크로드 아이덴티티 클러스터 만들기 제한 |
constraints/iam.restrictCrossProjectServiceAccountLienRemoval |
다른 프로젝트의 리소스에 서비스 계정 연결 |
constraints/gcp.detailedAuditLoggingMode constraints/storage.retentionPolicySeconds constraints/storage.uniformBucketLevelAccess constraints/storage.publicAccessPrevention |
Cloud Storage의 조직 정책 제약조건 |
constraints/gcp.disableCloudLogging |
Cloud Logging 사용 중지 |
constraints/gcp.resourceLocations |
리소스 위치 제한 |
constraints/resourcemanager.accessBoundaries |
사용자를 위한 프로젝트 공개 상태 제한 |
constraints/run.allowedIngress |
VPC 서비스 제어 사용 |
constraints/run.allowedVPCEgress |
VPC 서비스 제어 사용 |
자세히 알아보기
조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.
조직 정책 개요 읽기
제약조건의 개념 읽기
제약조건을 사용하여 조직 정책을 생성하는 방법 읽기
계층 구조 평가 작동 방식 읽기