조직 정책 제약조건

사용 가능한 제약조건

다음 제약조건을 사용하는 정책을 지정할 수 있습니다.

여러 Google Cloud 서비스에서 지원하는 제약조건

제약조건 설명 지원되는 프리픽스
허용된 작업자 풀(Cloud Build) 이 목록 제약조건은 Cloud Build를 사용하여 빌드를 수행하는 데 허용되는 Cloud Build 작업자 풀 집합을 정의합니다. 이 제약조건이 적용되면 허용되는 값 중 하나와 일치하는 작업자 풀에서 빌드해야 합니다.
기본적으로 Cloud Build는 모든 작업자 풀을 사용할 수 있습니다.
허용된 작업자 풀 목록은 다음 형식이어야 합니다.
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID


  • constraints/cloudbuild.allowedWorkerPools
"is:", "under:"
Google Cloud Platform - 리소스 위치 제한 이 목록 제약조건은 위치 기반 GCP 리소스를 만들 수 있는 위치 집합을 정의합니다.
기본적으로 모든 위치에 리소스를 만들 수 있습니다.
이 제약조건에 대한 정책은 asiaeurope과 같은 멀티 리전, us-east1 또는 europe-west1과 같은 리전을 허용 또는 거부된 위치로 지정할 수 있습니다. 멀티 리전을 허용하거나 거부한다고 해서 포함된 모든 하위 위치도 허용되거나 거부되는 것은 아닙니다. 예를 들어 정책에서 일부 스토리지 서비스와 같은 멀티 리전 리소스를 참조하는 us 멀티 리전을 거부해도 us-east1 리전 위치에 리소스를 계속 만들 수 있습니다. 반면에 in:us-locations 그룹에는 us 리전 내의 모든 위치가 포함되며 모든 리전을 차단하는 데 사용할 수 있습니다.
값 그룹을 사용하여 정책을 정의하는 것이 좋습니다.
값 그룹, 즉 리소스 위치를 정의하는 간단한 방법을 제공하기 위해 Google이 선별한 위치 모음을 지정할 수 있습니다. 조직 정책에 값 그룹을 사용하려면 값 그룹 앞에 in: 문자열로 항목에 프리픽스를 지정하세요.
예를 들어 미국에만 물리적으로 위치하는 리소스를 만들려면 허용되는 값 목록에 in:us-locations를 설정하세요.
위치 정책에 suggested_value 필드가 사용되는 경우에는 리전이어야 합니다. 지정된 값이 리전이면 영역 리소스의 UI에 해당 리전의 영역이 자동으로 입력될 수 있습니다.
constraints/gcp.resourceLocations
"is:", "in:"
허용된 Google Cloud API 및 서비스 제한 이 목록 제약조건은 이 리소스에서 사용 설정할 수 있는 서비스 및 서비스 API의 집합을 제한합니다. 기본적으로 모든 서비스가 허용됩니다.
서비스의 거부 목록이 아래 목록에 속해야 합니다. 이 제약조건을 통해 API를 명시적으로 사용 설정하는 것은 현재 지원되지 않습니다. 다음 목록에 없는 API를 지정하면 오류가 발생합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 이 제약조건을 시행할 때 리소스에서 이미 사용 설정되어 있는 서비스는 사용 설정된 상태로 유지됩니다.

constraints/serviceuser.services
"is:"

특정 서비스에 대한 제약조건

서비스 제약조건 설명 지원되는 프리픽스
App Engine 소스 코드 다운로드 사용 중지 이전에 App Engine에 업로드한 소스 코드의 코드 다운로드를 사용 중지합니다.
constraints/appengine.disableCodeDownload
"is:"
BigQuery Cloud AWS용 BigQuery Omni 사용 중지 이 부울 제약조건이 True로 설정된 경우 사용자가 BigQuery Omni를 사용하여 이 제약조건이 적용되는 Amazon Web Services의 데이터를 처리할 수 없습니다.
constraints/bigquery.disableBQOmniAWS
"is:"
BigQuery Cloud Azure용 BigQuery Omni 사용 중지 이 부울 제약조건이 True로 설정된 경우 사용자가 BigQuery Omni를 사용하여 이 제약조건이 적용되는 Microsoft Azure의 데이터를 처리할 수 없습니다.
constraints/bigquery.disableBQOmniAzure
"is:"
Cloud Functions 허용되는 인그레스 설정(Cloud Functions) 이 목록 제약조건은 Cloud 함수의 배포에 허용되는 인그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 인그레스 설정을 사용해야 합니다.
기본적으로 Cloud Functions는 모든 인그레스 설정을 사용할 수 있습니다.
인그레스 설정은 IngressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.

constraints/cloudfunctions.allowedIngressSettings
"is:"
Cloud Functions 허용되는 VPC 커넥터 이그레스 설정(Cloud Functions) 이 목록 제약조건은 Cloud 함수의 배포에 허용되는 VPC 커넥터 이그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 VPC 커넥터 이그레스 설정을 사용해야 합니다.
기본적으로 Cloud Functions는 모든 VPC 커넥터 이그레스 설정을 사용할 수 있습니다.
VPC 커넥터 이그레스 설정은 VpcConnectorEgressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
Cloud Functions VPC 커넥터 필요(Cloud Functions) 이 부울 제약조건은 Cloud 함수를 배포할 때 VPC 커넥터 설정을 적용합니다. 이 제약조건이 적용되면 함수에서 VPC 커넥터를 지정해야 합니다.
기본적으로 Cloud 함수를 배포하기 위해 VPC 커넥터를 지정할 필요는 없습니다.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL 기본 Google 관리 암호화를 Cloud SQL 인스턴스로 제한합니다. 베타: 이 부울 제약조건을 True로 설정하면 새로 만들거나 다시 시작하거나 업데이트한 모든 Cloud SQL 인스턴스에서 고객 관리 암호화 키(CMEK)를 사용해야 합니다. 소급 적용되지 않습니다. 즉, Google 관리 암호화를 사용하는 기존 인스턴스의 경우 업데이트하거나 새로 고치지 않는 한, 영향을 받지 않습니다.
기본적으로 이 제약조건은 False로 설정되며 Cloud SQL 인스턴스에 Google 관리 암호화가 허용됩니다.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL Cloud SQL 인스턴스의 승인된 네트워크 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스에 프록시 해제된 데이터베이스 액세스를 위한 승인된 네트워크를 추가하지 못하도록 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 승인된 네트워크가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 승인된 네트워크는 Cloud SQL 인스턴스에 추가할 수 있습니다.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL Cloud SQL 인스턴스의 공개 IP 액세스 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스의 공개 IP 구성이 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 공개 IP 액세스가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 Cloud SQL 인스턴스에서는 공개 IP 액세스가 허용됩니다.

constraints/sql.restrictPublicIp
"is:"
Compute Engine 모든 IPv6 사용량 사용 중지 이 부울 제약조건이 True로 설정된 경우 IPv6 사용량과 관련된 Google Compute Engine 리소스의 생성 또는 업데이트가 사용 중지됩니다.
기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 모든 프로젝트, 폴더, 조직에서 IPv6 사용량으로 Google Compute Engine 리소스를 만들거나 업데이트할 수 있습니다.
설정된 경우 이 제약조건의 우선순위는 disableVpcInternalIpv6, disableVpcExternalIpv6, disableHybridCloudIpv6 등의 다른 IPv6 조직 제약조건보다 높습니다.
constraints/compute.disableAllIpv6
"is:"
Compute Engine Compute Engine 메타데이터의 게스트 속성 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM의 게스트 속성에 대한 Compute Engine API 액세스가 사용 중지됩니다.
기본적으로 Compute Engine VM 게스트 속성에 액세스하는 데 Compute Engine API를 사용할 수 있습니다.

constraints/compute.disableGuestAttributesAccess
"is:"
Compute Engine 인터넷 네트워크 엔드포인트 그룹 사용 중지 이 부울 제약조건은 사용자가 INTERNET_FQDN_PORTINTERNET_IP_PORTtype으로 네트워크 엔드포인트 그룹(NEG)을 만들 수 있는지 여부를 제한합니다.
기본적으로 적절한 IAM 권한이 있는 모든 사용자가 원하는 프로젝트에 인터넷 NEG를 만들 수 있습니다.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
Compute Engine VM 중첩 가상화 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 모든 Compute Engine VM에서 하드웨어 가속 중첩 가상화가 사용 중지됩니다.
기본적으로 하드웨어 가속 중첩 가상화는 CPU가 Intel Haswell 이상인 플랫폼에서 실행되는 모든 Compute Engine VM에 허용됩니다.

constraints/compute.disableNestedVirtualization
"is:"
Compute Engine 일반 사용자용 Private Service Connect 사용 중지 이 목록 제약조건은 사용자가 전달 규칙을 만들 수 없는 Private Service Connect 엔드포인트 유형 집합을 정의합니다. 이 제약조건이 적용되면 사용자는 Private Service Connect 엔드포인트 유형에 대한 전달 규칙을 만들지 못하도록 차단됩니다. 이 제약조건은 소급 적용되지 않습니다.
기본적으로 모든 Private Service Connect 엔드포인트 유형에 대해 전달 규칙을 만들 수 있습니다.
Private Service Connect 엔드포인트의 허용/거부 목록은 아래 목록에 속해야 합니다.
  • GOOGLE_APIS
  • SERVICE_PRODUCERS
허용/거부 목록에서 GOOGLE_APIS를 사용하면 Google API에 액세스하기 위한 Private Service Connect 전달 규칙 생성이 제한됩니다. 허용/거부 목록에서 SERVICE_PRODUCERS를 사용하면 다른 VPC 네트워크의 서비스에 액세스하기 위한 Private Service Connect 전달 규칙 생성이 제한됩니다.
constraints/compute.disablePrivateServiceConnectCreationForConsumers
"is:"
Compute Engine VM 직렬 포트 액세스 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에 대한 직렬 포트 액세스가 사용 중지됩니다.
기본적으로 고객은 메타데이터 속성을 사용하여 VM이나 프로젝트별로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 시행하면 메타데이터 속성에 관계없이 Compute Engine VM에서 직렬 포트 액세스가 사용 중지됩니다.

constraints/compute.disableSerialPortAccess
"is:"
Compute Engine Stackdriver에 VM 직렬 포트 로깅 사용 중지 이 부울 제약조건이 적용되는 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에서 Stackdriver의 직렬 포트 로깅이 사용 중지됩니다.
기본적으로 Compute Engine VM의 직렬 포트 로깅이 사용 중지되며, 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 선별적으로 사용 설정할 수 있습니다. 이 제약조건을 시행하면 새 Compute Engine VM이 생성될 때마다 새 VM의 직렬 포트 로깅이 사용 중지되며, 사용자가 기존 또는 새 VM의 메타데이터 속성을 True로 변경할 수 없습니다.
constraints/compute.disableSerialPortLogging
"is:"
Compute Engine VPC 외부 IPv6 사용량 사용 중지 이 부울 제약조건이 True로 설정된 경우 stack_typeIPV4_IPV6이고 ipv6_access_typeEXTERNAL인 서브네트워크의 생성 또는 업데이트가 사용 중지됩니다.
기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 프로젝트, 폴더, 조직에 stack_typeIPV4_IPV6인 서브네트워크를 만들거나 업데이트할 수 있습니다.
constraints/compute.disableVpcExternalIpv6
"is:"
Compute Engine VPC 내부 IPv6 사용량 사용 중지 이 부울 제약조건이 True로 설정된 경우 stack_typeIPV4_IPV6이고 ipv6_access_typeINTERNAL인 서브네트워크의 생성 또는 업데이트가 사용 중지됩니다.
기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 프로젝트, 폴더, 조직에 stack_typeIPV4_IPV6인 서브네트워크를 만들거나 업데이트할 수 있습니다.
constraints/compute.disableVpcInternalIpv6
"is:"
Compute Engine OS 로그인 필요 이 부울 제약조건이 true로 설정된 경우 새로 만든 모든 프로젝트에 OS 로그인이 사용 설정됩니다. 새 프로젝트에서 만든 모든 VM 인스턴스에 OS 로그인이 사용 설정됩니다. 신규 및 기존 프로젝트에서 이 제약조건을 설정하면 프로젝트 또는 인스턴스 수준에서 OS 로그인을 사용 중지하는 메타데이터 업데이트가 방지됩니다.
Compute Engine 프로젝트에서는 기본적으로 OS 로그인 기능이 사용 중지되어 있습니다.
노드 풀 버전 1.20.5-gke.2000 이상을 실행하는 비공개 클러스터의 GKE 인스턴스는 OS 로그인을 지원합니다. 공개 클러스터의 GKE 인스턴스는 현재 OS 로그인을 지원하지 않습니다. 이 제약조건이 공개 클러스터를 실행하는 프로젝트에 적용되는 경우 해당 프로젝트에서 실행하는 GKE 인스턴스가 제대로 작동하지 않을 수 있습니다.
constraints/compute.requireOsLogin
"is:"
Compute Engine 보안 VM 이 부울 제약조건이 True로 설정된 경우 모든 새 Compute Engine VM 인스턴스에서 보안 부팅, vTPM, 무결성 모니터링 옵션을 사용 설정하여 보안 디스크 이미지를 사용해야 합니다. 원하는 경우 생성 후에 보안 부팅을 사용 중지할 수 있습니다. 실행 중인 기존 인스턴스는 계속 평소와 같이 작동합니다.
기본적으로 Compute Engine VM 인스턴스를 만들기 위해 보안 VM 기능을 사용 설정할 필요가 없습니다. 보안 VM 기능을 사용하면 VM의 무결성을 확인할 수 있으며 유출 저항력이 생깁니다.
constraints/compute.requireShieldedVm
"is:"
Compute Engine Cloud NAT 사용량 제한 이 목록 제약조건은 Cloud NAT를 사용할 수 있는 서브네트워크의 집합을 정의합니다. 기본적으로 모든 서브네트워크가 Cloud NAT를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Compute Engine Dedicated Interconnect 사용 제한 이 목록 제약조건은 Dedicated Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictDedicatedInterconnectUsage
"is:", "under:"
Compute Engine 부하 분산기 유형에 따라 부하 분산기 생성 제한 이 목록 제약조건은 조직, 폴더 또는 프로젝트용으로 만들 수 있는 부하 분산기 유형의 집합을 정의합니다. 허용되거나 거부되는 모든 부하 분산기 유형을 명시적으로 나열해야 합니다. 기본적으로 모든 유형의 부하 분산기 생성이 허용됩니다.
허용되거나 거부되는 값의 목록은 부하 분산기의 문자열 이름으로 식별되어야 하며 아래 목록의 값만 포함할 수 있습니다.
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS
  • EXTERNAL_MANAGED_HTTP_HTTPS

내부 또는 모든 외부 부하 분산기 유형을 모두 포함하려면 in: 프리픽스 다음에 INTERNAL 또는 EXTERNAL을 사용하세요. 예를 들어 in:INTERNAL을 허용하면 위 목록에서 INTERNAL이 포함된 모든 부하 분산기 유형이 허용됩니다.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:", "in:"
Compute Engine 컨피덴셜 외 컴퓨팅 제한 이 목록 제약조건의 거부 목록은 컨피덴셜 컴퓨팅을 사용 설정한 상태에서 모든 새 리소스를 만들어야 하는 서비스 집합을 정의합니다. 기본적으로 새 리소스는 컨피덴셜 컴퓨팅을 사용할 필요가 없습니다. 이 목록 제약조건이 적용되면 리소스의 수명 주기 동안 컨피덴셜 컴퓨팅을 사용 중지할 수 없습니다. 기존 리소스는 계속 평소와 같이 작동합니다. 서비스의 거부 목록은 API의 문자열 이름으로 식별되어야 하며 아래 목록에서 명시적으로 거부된 값만 포함할 수 있습니다. API를 명시적으로 허용하는 것은 현재 지원되지 않습니다. 이 목록에 없는 API를 명시적으로 거부하면 오류가 발생합니다. 지원되는 API 목록: [compute.googleapis.com, container.googleapis.com]
constraints/compute.restrictNonConfidentialComputing
"is:"
Compute Engine Partner Interconnect 사용 제한 이 목록 제약조건은 Partner Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
Compute Engine IP 주소 유형에 따라 프로토콜 전달 제한 이 목록 제약조건은 사용자가 만들 수 있는 대상 인스턴스가 있는 프로토콜 전달 규칙 객체의 유형을 정의합니다. 이 제약조건이 적용되면 지정된 유형에 따라 대상 인스턴스가 있는 새로운 전달 규칙 객체가 내부 또는 외부 IP 주소로 제한됩니다. 허용되거나 거부되는 유형을 명시적으로 나열해야 합니다. 기본적으로 대상 인스턴스가 있는 내부 및 외부 프로토콜 전달 규칙 객체를 둘 다 만드는 것이 허용됩니다.
허용되거나 거부되는 값의 목록은 아래 목록의 값만 포함해야 합니다.
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
Compute Engine 공유 VPC 호스트 프로젝트 제한 이 목록 제약조건은 이 리소스나 그 아래에 있는 프로젝트에서 연결할 수 있는 공유 VPC 호스트 프로젝트의 집합을 정의합니다. 기본적으로 프로젝트는 동일한 조직의 모든 호스트 프로젝트에 연결할 수 있으며 이를 통해 서비스 프로젝트가 됩니다. 허용/거부 목록의 프로젝트, 폴더, 조직은 리소스 계층 구조에서 하위에 있는 모든 객체에 영향을 미치며 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID 또는 projects/PROJECT_ID 형식으로 지정되어야 합니다.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
Compute Engine 공유 VPC 서브네트워크 제한 이 목록 제약조건은 대상 리소스가 사용할 수 있는 공유 VPC 서브네트워크의 집합을 정의하며 같은 프로젝트 내의 리소스에는 적용되지 않습니다. 기본적으로 대상 리소스는 모든 공유 VPC 서브네트워크를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME 형식으로 지정해야 합니다.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
Compute Engine VPC 피어링 사용 제한 이 목록 제약조건은 이 프로젝트, 폴더 또는 조직에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 기본적으로 한 네트워크의 네트워크 관리자는 다른 네트워크와 피어링할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictVpcPeering
"is:", "under:"
Compute Engine VPN 피어 IP 제한 이 목록 제약조건은 VPN 피어 IP로 구성할 수 있는 유효한 IP-v4 주소의 집합을 정의합니다. 기본적으로 모든 IP가 VPC 네트워크의 VPN 피어 IP가 될 수 있습니다. IP 주소의 허용/거부 목록은 IP_V4_ADDRESS 형식의 유효한 IP-v4 주소로 지정되어야 합니다.
constraints/compute.restrictVpnPeerIPs
"is:"
Compute Engine 새 프로젝트의 내부 DNS 설정을 영역 DNS 전용으로 설정 `True`로 설정하면 새로 만든 프로젝트는 기본적으로 영역 DNS를 사용합니다. 기본적으로 이 제약조건은 'False'로 설정되며 새로 만든 프로젝트는 기본 DNS 유형을 사용합니다.
constraints/compute.setNewProjectDefaultToZonalDNSOnly
"is:"
Compute Engine 공유된 예약 소유자 프로젝트 이 목록 제약조건은 조직에서 공유된 예약을 만들고 소유할 수 있는 프로젝트 집합을 정의합니다. 공유된 예약은 로컬 예약과 비슷하지만 소유자 프로젝트에서만 사용할 수 있는 로컬 예약과는 달리 리소스 계층 구조의 다른 Compute Engine 프로젝트에서 사용할 수 있습니다. 공유 예약 예약에 액세스하도록 허용된 프로젝트 목록은 projects/PROJECT_ID 또는 under:projects/PROJECT_ID 형식이어야 합니다.
constraints/compute.sharedReservationsOwnerProjects
"is:", "under:"
Compute Engine 기본 네트워크 생성 건너뛰기 이 부울 제약조건이 True로 설정된 경우, Google Cloud Platform 프로젝트 리소스 생성 도중 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 프로젝트 리소스를 만들 때 기본 네트워크 및 지원 리소스가 자동으로 생성됩니다.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute Engine Compute 저장소 리소스 사용 제한(Compute Engine 디스크, 이미지, 스냅샷) 이 목록 제약조건은 Compute Engine의 저장소 리소스를 사용하도록 허용되는 프로젝트 집합을 정의합니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 Compute Engine 리소스에 액세스할 수 있습니다. 이 제약조건을 사용하는 경우 사용자는 Cloud IAM 권한이 있어야 하며 제약 조건이 이 사용자의 리소스 액세스를 제한해서는 안 됩니다.
허용 또는 거부 목록에 지정된 프로젝트, 폴더, 조직은 under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID 형식이어야 합니다.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
Compute Engine 신뢰할 수 있는 이미지 프로젝트 정의 이 목록 제약조건은 Compute Engine의 이미지 저장소 및 디스크 인스턴스화에 사용할 수 있는 프로젝트 집합을 정의합니다.
기본적으로 이미지를 사용자와 공개적으로 또는 명시적으로 공유하는 모든 프로젝트의 이미지에서 인스턴스를 만들 수 있습니다.
게시자 프로젝트의 허용/거부 목록은 projects/PROJECT_ID 형식의 문자열이어야 합니다. 이 제약조건이 활성 상태이면 신뢰할 수 있는 프로젝트의 이미지만 새 인스턴스의 부팅 디스크 소스로 허용됩니다.

constraints/compute.trustedImageProjects
"is:"
Compute Engine VM IP 전달 제한 이 목록 제약조건은 IP 전달을 사용 설정할 수 있는 VM 인스턴스의 집합을 정의합니다. 기본적으로 모든 VM이 모든 가상 네트워크에서 IP 전달을 사용 설정할 수 있습니다. VM 인스턴스는 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 형식으로 지정되어야 합니다. 이 제약조건은 소급 적용되지 않습니다.
constraints/compute.vmCanIpForward
"is:", "under:"
Compute Engine VM 인스턴스에 허용되는 외부 IP 정의 이 목록 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스의 집합을 정의합니다.
기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다.
VM 인스턴스의 허용/거부 목록은 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess 형식의 VM 인스턴스 이름으로 식별되어야 합니다.
"is:"
Datastream Datastream - 공개 연결 방법 차단 기본적으로 공개 또는 비공개 연결 방법으로 Datastream 연결 프로필을 만들 수 있습니다. 이 조직 정책의 부울 제약조건이 적용되면 연결 프로필을 만드는 데 비공개 연결 방법(예: VPC 피어링)만 사용할 수 있습니다.
constraints/datastream.disablePublicConnectivity
"is:"
필수 연락처 도메인 제한 연락처 이 목록 제약조건은 필수 연락처에 추가된 이메일 주소에 사용할 수 있는 도메인의 집합을 정의합니다.
기본적으로 모든 도메인의 이메일 주소를 필수 연락처에 추가할 수 있습니다.
허용/거부 목록에서 @example.com 형식의 도메인을 하나 이상 지정해야 합니다. 이 제약조건이 활성 상태이고 허용 값으로 구성된 경우 허용되는 도메인 목록의 항목 중 하나와 일치하는 서픽스가 있는 이메일 주소만 필수 연락처에 추가될 수 있습니다.
이 제약조건은 기존 연락처 업데이트 또는 삭제에 영향을 주지 않습니다.
constraints/essentialcontacts.allowedContactDomains
"is:"
Cloud Healthcare Cloud Logging 사용 중지 이 제약조건이 적용되는 조직, 프로젝트 또는 폴더에서 Cloud Logging을 사용 중지합니다. 감사 로그는 이 제약조건의 영향을 받지 않습니다.
제약조건이 적용되기 전에 생성된 로그는 삭제되지 않으며 이러한 로그에 계속 액세스할 수 있습니다.
이 제약조건은 Cloud Healthcare API에서만 지원됩니다.
constraints/gcp.disableCloudLogging
"is:"
ID 및 액세스 관리 OAuth 2.0 액세스 토큰의 수명을 최대 12시간으로 연장하는 것을 허용합니다. 이 목록 제약조건은 최대 12시간의 수명으로 OAuth 2.0 액세스 토큰을 부여받을 수 있는 서비스 계정의 집합을 정의합니다. 기본적으로 이러한 액세스 토큰의 최대 수명은 1시간입니다.
서비스 계정의 허용/거부 목록에서 서비스 계정 이메일 주소를 하나 이상 지정해야 합니다.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
ID 및 액세스 관리 도메인 제한 공유 이 목록 제약조건은 IAM 정책에 주 구성원을 추가할 수 있는 하나 이상의 Cloud ID 또는 Google Workspace 고객 ID를 정의합니다.
기본적으로 모든 사용자 ID를 IAM 정책에 추가할 수 있습니다.
이 제약조건이 활성 상태이면 허용되는 고객 ID에 속한 주 구성원만 IAM 정책에 추가할 수 있습니다.
constraints/iam.allowedPolicyMemberDomains
"is:"
ID 및 액세스 관리 교차 프로젝트 서비스 계정 사용 중지 적용하면 서비스 계정과 동일한 프로젝트에서 실행되는 작업(vm, 함수 등)에만 ServiceAccountUser 역할을 사용하여 서비스 계정을 배포할 수 있습니다.
constraints/iam.disableCrossProjectServiceAccountUsage
"is:"
ID 및 액세스 관리 서비스 계정 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정의 생성을 사용 중지합니다.
기본적으로 서비스 계정은 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다.

constraints/iam.disableServiceAccountCreation
"is:"
ID 및 액세스 관리 서비스 계정 키 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정 외부 키의 생성을 사용 중지합니다.
기본적으로 서비스 계정 외부 키는 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다.

constraints/iam.disableServiceAccountKeyCreation
"is:"
ID 및 액세스 관리 서비스 계정 키 업로드 사용 중지 'True'로 설정할 경우 이 부울 제약조건은 서비스 계정에 공개 키를 업로드하도록 허용하는 기능을 사용 중지합니다.
기본적으로 사용자는 Cloud IAM 역할 및 권한을 기반으로 서비스 계정에 공개 키를 업로드할 수 있습니다.
constraints/iam.disableServiceAccountKeyUpload
"is:"
ID 및 액세스 관리 워크로드 아이덴티티 클러스터 생성 사용 중지 이 부울 제약조건이 `True`로 설정된 경우 생성 당시에 모든 새 GKE 클러스터에 워크로드 아이덴티티가 사용 중지되어야 합니다. 워크로드 아이덴티티가 이미 사용 설정된 기존 GKE는 계속 평소와 같이 작동합니다. 기본적으로 워크로드 아이덴티티는 모든 GKE 클러스터에 사용 설정될 수 있습니다.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
ID 및 액세스 관리 Cloud IAM에서 워크로드 아이덴티티 제휴용으로 구성할 수 있는 허용된 AWS 계정 Cloud IAM에서 워크로드 아이덴티티 제휴용으로 구성할 수 있는 AWS 계정 ID의 목록입니다.
constraints/iam.workloadIdentityPoolAwsAccounts
"is:"
ID 및 액세스 관리 Cloud IAM에서 워크로드의 허용된 외부 ID 공급업체 URI/URL로 지정한 Cloud IAM 내 워크로드 인증에 대해 구성할 수 있는 ID 공급업체입니다.
constraints/iam.workloadIdentityPoolProviders
"is:"
Resource Manager 공유 VPC 프로젝트 선취권 삭제 제한 이 부울 제약조건이 True로 설정된 경우, 조직 수준의 권한 없이 공유 VPC 프로젝트 선취권을 삭제할 수 있는 사용자 집합을 제한합니다.
기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 공유 VPC 프로젝트 선취권을 삭제할 수 있습니다. 이 제약조건을 시행할 경우 조직 수준에서 권한이 부여되어야 합니다.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Resource Manager 교차 프로젝트 서비스 계정 선취권 삭제 제한 이 부울 제약조건이 적용되면 사용자가 조직 수준의 권한 없이는 교차 프로젝트 서비스 계정 선취권을 삭제할 수 없습니다. 기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 교차 프로젝트 서비스 계정 선취권을 삭제할 수 있습니다. 이 제약조건을 적용하려면 조직 수준에서 권한이 부여되어야 합니다.
constraints/iam.restrictCrossProjectServiceAccountLienRemoval
"is:"
Resource Manager 리소스 쿼리 공개 상태 제한 이 목록 제약조건이 조직 리소스에 적용되면 이 제약조건이 적용되는 조직의 도메인에 속한 사용자에게 나열 및 검색 메서드로 반환되는 Google Cloud 리소스의 집합이 정의됩니다. 리소스 선택 도구, 검색, 리소스 관리 페이지 등 Cloud Console의 다양한 부분에 어떤 리소스를 표시할지 제한하는 데 사용할 수 있습니다. 이 제약조건은 조직 수준에서만 평가됩니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다.
constraints/resourcemanager.accessBoundaries
"is:", "under:"
Resource Manager 조직 간 이동을 위해 사용 설정된 서비스 허용 목록 필요 이 목록 제약조건은 서비스가 사용 설정된 프로젝트를 조직 간에 이동할 수 있는지 확인하는 역할을 합니다. 지원되는 서비스가 사용 설정된 리소스에 이 제약조건이 적용되어야 하며 허용되는 값에 포함된 지원되는 서비스를 조직 간에 이동할 수 있습니다. 현재 사용 가능한 지원되는 서비스 값의 목록은 다음과 같습니다.
  • SHARED_VPC

이 제약조건은 constraints/resourcemanager.allowedExportDestinations 외에 추가적인 제어를 제공합니다. 이 list_constraint는 기본적으로 비어 있으며 내보낼 리소스에 지원되는 서비스가 사용 설정되지 않는 한 조직 간 이동을 차단하지 않습니다. 이 제약조건을 사용하면 다른 조직으로 이동할 때 더 주의가 필요한 기능을 사용하여 리소스를 보다 세밀하게 제어할 수 있습니다. 기본적으로 지원되는 서비스가 사용 설정된 리소스는 조직 간에 이동할 수 없습니다.
constraints/resourcemanager.allowEnabledServicesForExport
"is:"
Resource Manager 리소스 내보내기에 허용되는 대상 이 목록 제약조건은 리소스를 이동할 수 있는 외부 조직의 집합을 정의하고 그 외의 모든 조직으로 이동하는 것을 모두 거부합니다. 기본적으로 조직 간에 리소스를 이동할 수 없습니다. 이 제약조건이 리소스에 적용되는 경우 이 제약조건에서 명시적으로 허용하는 조직으로만 리소스를 이동할 수 있습니다. 조직 내의 이동에는 이 제약조건이 적용되지 않습니다. 이동 작업에는 일반적인 리소스 이동과 동일한 IAM 권한이 필요합니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다.
constraints/resourcemanager.allowedExportDestinations
"is:", "under:"
Resource Manager 리소스 가져오기에 허용되는 소스 이 목록 제약조건은 리소스를 가져올 수 있는 외부 조직의 집합을 정의하고 그 외의 모든 조직에서 이동하는 것을 모두 거부합니다. 기본적으로 조직 간에 리소스를 이동할 수 없습니다. 이 제약조건이 리소스에 적용되는 경우 이 리소스 바로 아래에 있는 가져온 리소스를 제약조건에서 명시적으로 허용해야 합니다. 조직 내의 이동에는 이 제약조건이 적용되지 않습니다. 이동 작업에는 일반적인 리소스 이동과 동일한 IAM 권한이 필요합니다. 허용/거부 목록에 지정된 값은 under:organizations/ORGANIZATION_ID 형식이어야 합니다.
constraints/resourcemanager.allowedImportSources
"is:", "under:"
Cloud Run 허용되는 Binary Authorization 정책(Cloud Run) 이 목록 제약조건은 Cloud Run 리소스에 지정될 수 있는 Binary Authorization 정책 이름의 집합을 정의합니다. 기본적으로 리소스는 모든 Binary Authorization 정책을 지정할 수 있습니다.
프로젝트당 Binary Authorization 정책은 하나만 존재하므로 정책의 허용/거부 목록은 default 값만 사용할 수 있습니다.

constraints/run.allowedBinaryAuthorizationPolicies
"is:"
Cloud Run 허용되는 인그레스 설정(Cloud Run) 이 목록 제약조건은 Cloud Run 서비스에 허용되는 인그레스 설정을 정의합니다. 이 제약조건이 적용되면 서비스에서는 허용되는 값 중 하나와 일치하는 인그레스 설정을 사용해야 합니다. 이 제약조건을 위반하는 인그레스 설정을 사용하는 기존 Cloud Run 서비스는 이 제약조건을 준수하도록 서비스의 인그레스 설정이 변경될 때까지 계속 업데이트될 수 있습니다. 서비스가 이 제약조건을 준수하면 이 제약조건에서 허용하는 인그레스 설정만 사용할 수 있습니다.
기본적으로 Cloud Run 서비스는 모든 인그레스 설정을 사용할 수 있습니다.
허용 목록에는 지원되는 인그레스 설정 값(all, internal, internal-and-cloud-load-balancing)이 포함되어야 합니다.

constraints/run.allowedIngress
"is:"
Cloud Run 허용되는 VPC 이그레스 설정(Cloud Run) 이 목록 제약조건은 Cloud Run 서비스 버전에 허용되는 VPC 이그레스 설정을 정의합니다. 이 제약조건이 적용되면 서비스 버전이 있어야 서버리스 VPC 액세스 커넥터를 사용할 수 있으며 버전의 VPC 이그레스 설정이 허용된 값 중 하나와 일치해야 합니다.
기존 서비스의 경우 새로 배포된 모든 버전이 이 제약조건을 준수해야 합니다. 이 제약조건을 위반하는 트래픽을 제공하는 버전이 있는 기존 서비스는 이 제약조건을 위반하는 버전으로 트래픽을 계속 마이그레이션할 수 있습니다. 이 제약조건을 준수하는 버전이 서비스의 모든 트래픽을 제공하면 이후 트래픽 마이그레이션은 이 제약조건을 준수하는 버전에만 트래픽을 마이그레이션해야 합니다.
기본적으로 Cloud Run 버전은 지원되는 모든 값으로 VPC 이그레스 설정을 지정할 수 있습니다.
허용 목록에는 private-ranges-onlyall-traffic에 해당되는 지원되는 VPC 이그레스 설정 값이 포함되어야 합니다.

constraints/run.allowedVPCEgress
"is:"
서비스 소비자 관리 기본 서비스 계정에 대한 자동 IAM 부여 사용 중지 이 부울 제약 조건이 적용되면 프로젝트에서 생성된 기본 App Engine 및 Compute Engine 서비스 계정에 계정을 만들 때 프로젝트에 대한 IAM 역할이 자동으로 부여되는 것이 방지됩니다.
기본적으로 이러한 서비스 계정은 생성될 때 자동으로 편집자 역할을 받습니다.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform - 상세한 감사 로깅 모드 상세한 감사 로깅 모드가 적용되면 요청 및 응답이 둘 다 Cloud 감사 로그에 포함됩니다. 이 기능을 변경하면 반영되는 데 최대 10분이 걸릴 수 있습니다. 이 조직 정책은 SEC 규칙 17a-4(f), CFTC 규칙 1.31(c)-(d), FINRA 규칙 4511(c) 등의 규정 준수를 모색할 때 버킷 잠금과 함께 사용하는 것이 좋습니다. 이 정책은 현재 Google Cloud Storage에서만 지원됩니다.
constraints/gcp.detailedAuditLoggingMode
"is:"
Cloud Storage 공개 액세스 방지 적용 미리보기: 공개 액세스 방지를 적용하여 Cloud Storage 데이터가 공개적으로 노출되지 않도록 보호합니다. 이 거버넌스 정책은 allUsersallAuthenticatedUsers에 대한 액세스 권한을 부여하는 ACL 및 IAM 권한을 사용 중지하고 차단하여 공개 인터넷을 통해 기존 및 향후 리소스에 액세스할 수 없도록 합니다. 데이터가 공개적으로 노출되지 않도록 전체 조직(권장), 특정 프로젝트 또는 특정 폴더에 이 정책을 적용하세요.
이 정책은 기존 공개 권한을 재정의합니다. 이 정책을 사용 설정하면 기존 버킷 및 객체에 대한 공개 액세스가 취소됩니다.
constraints/storage.publicAccessPrevention
"is:"
Cloud Storage 보관 정책 기간(초) 이 목록 제약조건은 Cloud Storage 버킷에 설정할 수 있는 보관 정책의 기간 집합을 정의합니다.
기본적으로 지정된 조직 정책이 없으면 Cloud Storage 버킷에 원하는 기간의 보관 정책을 사용할 수 있습니다.
허용되는 기간의 목록은 초 단위로 보관 정책을 나타내는 0보다 큰 양의 정숫값으로 지정해야 합니다.
조직 리소스에 있는 버킷의 모든 삽입, 업데이트, 패치 작업에는 제약조건과 일치하는 보관 정책 기간이 있어야 합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 새 조직 정책을 적용하면 기존 버킷의 보관 정책은 변경되지 않고 유효한 상태로 유지됩니다.

constraints/storage.retentionPolicySeconds
"is:"
Cloud Storage 균일한 버킷 수준 액세스 권한 적용 이 부울 제약조건이 True로 설정되면 버킷에서 균일한 버킷 수준 액세스 권한을 사용해야 합니다. 조직 리소스의 새 버킷에 균일한 버킷 수준 액세스 권한이 사용 설정되어야 하며, 조직 리소스의 기존 버킷은 균일한 버킷 수준 액세스 권한을 사용 중지할 수 없습니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 균일한 버킷 수준 액세스 권한이 사용 중지된 기존 버킷은 계속 이 권한이 사용 중지된 상태로 유지됩니다. 이 제약조건의 기본값은 False입니다.
균일한 버킷 수준 액세스 권한을 적용하면 버킷의 Cloud Storage 객체에 할당된 ACL의 평가가 중지됩니다. 따라서 IAM 정책만 해당 버킷의 객체에 대한 액세스 권한을 부여합니다.

constraints/storage.uniformBucketLevelAccess
"is:"

안내 가이드

개별 제약조건을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

제약조건 안내 가이드
constraints/cloudfunctions.allowedIngressSettings VPC 서비스 제어 사용
constraints/cloudfunctions.allowedVpcConnectorEgressSettings VPC 서비스 제어 사용
cloudfunctions.requireVPCConnector VPC 서비스 제어 사용
constraints/compute.restrictCloudNATUsage Cloud NAT 사용량 제한
constraints/compute.restrictLoadBalancerCreationForTypes Cloud Load Balancing 제약조건
constraints/compute.restrictProtocolForwardingCreationForTypes 프로토콜 전달 제약조건
constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Cloud Interconnect 사용 제한
constraints/compute.restrictVpnPeerIPs Cloud VPN 터널을 통해 피어 IP 주소 제한
constraints/compute.trustedImageProjects 이미지에 대한 액세스 제한
constraints/compute.vmExternalIpAccess VM의 외부 IP 액세스 사용 중지
constraints/iam.allowedPolicyMemberDomains 도메인별 ID 제한
constraints/iam.allowServiceAccountCredentialLifetimeExtension OAuth 2.0 액세스 토큰의 수명 연장
constraints/iam.disableCrossProjectServiceAccountUsage 다른 프로젝트의 리소스에 서비스 계정 연결
constraints/iam.disableServiceAccountCreation 서비스 계정 생성 제한
constraints/iam.disableServiceAccountKeyCreation 서비스 계정 키 생성 제한
constraints/iam.disableServiceAccountKeyUpload 서비스 계정 키 업로드 제한
constraints/iam.disableWorkloadIdentityClusterCreation 워크로드 아이덴티티 클러스터 만들기 제한
constraints/iam.restrictCrossProjectServiceAccountLienRemoval 다른 프로젝트의 리소스에 서비스 계정 연결
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
constraints/storage.publicAccessPrevention
Cloud Storage의 조직 정책 제약조건
constraints/gcp.disableCloudLogging Cloud Logging 사용 중지
constraints/gcp.resourceLocations 리소스 위치 제한
constraints/compute.restrictCloudNATUsage Cloud NAT의 조직 정책 제약조건
constraints/resourcemanager.accessBoundaries 사용자의 프로젝트 공개 상태 제한
constraints/run.allowedIngress VPC 서비스 제어 사용
constraints/run.allowedVPCEgress VPC 서비스 제어 사용

자세히 알아보기

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.