조직 정책 제약조건

사용 가능한 제약조건

다음 제약조건을 사용하는 정책을 지정할 수 있습니다. 추가 제약조건이 개발 중입니다.

서비스 제약조건 설명 지원되는 프리픽스
Compute Engine Compute Engine 메타데이터의 게스트 속성 사용 중지 이 부울 제약조건은 제약조건이 True로 설정된 경우 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM의 게스트 속성에 대한 Compute Engine API 액세스를 사용 중지합니다.
기본적으로 Compute Engine VM 게스트 속성에 액세스하는 데 Compute Engine API를 사용할 수 있습니다.

constraints/compute.disableGuestAttributesAccess
"is:"
VM 중첩 가상화 사용 중지 이 부울 제약조건은 제약조건이 True로 설정된 조직, 프로젝트, 폴더에 속한 모든 Compute Engine VM에서 하드웨어 가속 중첩 가상화를 사용 중지합니다.
기본적으로 하드웨어 가속 중첩 가상화는 CPU가 Intel Haswell 이상인 플랫폼에서 실행되는 모든 Compute Engine VM에 허용됩니다.

constraints/compute.disableNestedVirtualization
"is:"
VM 직렬 포트 액세스 사용 중지 이 부울 제약조건은 제약조건이 True로 설정된 조직, 프로젝트, 폴더에 속한 Compute Engine VM에서 직렬 포트 액세스를 사용 중지합니다.
기본적으로 고객은 메타데이터 속성을 사용하여 VM이나 프로젝트별로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 시행하면 메타데이터 속성에 관계없이 Compute Engine VM에서 직렬 포트 액세스가 사용 중지됩니다.

constraints/compute.disableSerialPortAccess
"is:"
기본 네트워크 생성 건너뛰기 이 부울 제약조건은 제약조건이 True로 설정된 경우 Google Cloud Platform 프로젝트 리소스 생성 중에 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 프로젝트 리소스를 만들 때 기본 네트워크 및 지원 리소스가 자동으로 생성됩니다.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute 저장소 리소스 사용 제한(Compute Engine 디스크, 이미지, 스냅샷) 이 목록 제약조건은 Compute Engine의 저장소 리소스를 사용하도록 허용되는 프로젝트 집합을 정의합니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 Compute Engine 리소스에 액세스할 수 있습니다. 이 제약조건을 사용하는 경우 사용자는 Cloud IAM 권한이 있어야 하며 제약 조건이 이 사용자의 리소스 액세스를 제한해서는 안 됩니다.
허용 또는 거부 목록에 지정된 프로젝트, 폴더 또는 조직은 각각 under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID 형식이어야 합니다.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
신뢰할 수 있는 이미지 프로젝트 정의 이 목록 제약조건은 Compute Engine의 이미지 저장소 및 디스크 인스턴스화에 사용할 수 있는 프로젝트 집합을 정의합니다.
기본적으로 이미지를 사용자와 공개적으로 또는 명시적으로 공유하는 모든 프로젝트의 이미지에서 인스턴스를 만들 수 있습니다.
게시자 프로젝트의 허용/거부 목록은 projects/PROJECT_ID 형식의 문자열이어야 합니다. 이 제약조건이 활성 상태이면 신뢰할 수 있는 프로젝트의 이미지만 새 인스턴스의 부팅 디스크 소스로 허용됩니다.

constraints/compute.trustedImageProjects
"is:"
VM 인스턴스에 허용되는 외부 IP 정의 이 목록 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스의 집합을 정의합니다.
기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다.
VM 인스턴스의 허용/거부 목록은 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE 형식의 VM 인스턴스 이름으로 식별되어야 합니다.

constraints/compute.vmExternalIpAccess
"is:"
Cloud Identity and Access Management 도메인 제한 공유 베타: 이 목록 제약조건은 Cloud IAM 정책에 추가할 수 있는 구성원 집합을 정의합니다.
기본적으로 모든 사용자 ID를 Cloud IAM 정책에 추가할 수 있습니다.
허용/거부 목록에서 G Suite 고객 ID를 하나 이상 지정해야 합니다. 이 제약조건이 활성 상태이면 허용 목록에 있는 ID만 Cloud IAM 정책에 추가할 수 있습니다.

constraints/iam.allowedPolicyMemberDomains
"is:"
서비스 계정 생성 사용 중지 베타: 이 부울 제약조건은 제약조건이 'True'로 설정된 경우 서비스 계정의 생성을 사용 중지합니다.
기본적으로 사용자가 Cloud IAM 역할 및 권한을 기준으로 서비스 계정을 만들 수 있습니다.

constraints/iam.disableServiceAccountCreation
"is:"
서비스 계정 키 생성 사용 중지 베타: 이 부울 제약조건은 제약조건이 'True'로 설정된 경우 서비스 계정 외부 키의 생성을 사용 중지합니다.
기본적으로 사용자가 Cloud IAM 역할 및 권한을 기준으로 서비스 계정 외부 키를 만들 수 있습니다.

constraints/iam.disableServiceAccountKeyCreation
"is:"
Resource Manager 공유 VPC 프로젝트 선취권 삭제 제한 이 부울 제약조건은 제약조건이 True로 설정된 경우에 조직 수준의 권한 없이 공유 VPC 프로젝트 선취권을 삭제할 수 있는 사용자 집합을 제한합니다.
기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 공유 VPC 프로젝트 선취권을 삭제할 수 있습니다. 이 제약조건을 시행할 경우 조직 수준에서 권한이 부여되어야 합니다.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Google Cloud Platform 허용되는 API 및 서비스 정의 이 목록 제약조건은 이 리소스 및 하위 리소스에서 사용 설정할 수 있는 서비스 및 서비스의 API 집합을 정의합니다.
기본적으로 모든 서비스가 허용됩니다.
서비스의 거부 목록은 API의 문자열 이름으로 식별되어야 하며 아래 목록에서 명시적으로 거부된 값만 포함해야 합니다. API를 명시적으로 허용하는 것은 현재 지원되지 않습니다. 이 목록에 없는 API를 추가하면 오류가 발생합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 이 제약조건을 시행할 때 리소스에서 이미 사용 설정되어 있는 서비스는 사용 설정된 상태로 유지됩니다.

constraints/serviceuser.services
"is:"
Cloud Storage 버킷 정책 전용 옵션 적용 베타: 이 부울 제약조건이 True로 설정된 경우 버킷에서 버킷 정책 전용 옵션을 사용해야 합니다. 조직 리소스의 새 버킷에 버킷 정책 전용 옵션이 사용 설정되어야 하며, 조직 리소스의 기존 버킷은 버킷 정책 전용 옵션을 사용 중지할 수 없습니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 버킷 정책 전용 옵션이 사용 중지된 기존 버킷은 계속 사용 중지된 상태로 유지됩니다. 이 제약조건의 기본값은 False입니다.
버킷 정책 전용 옵션을 적용하면 버킷의 Cloud Storage 객체에 할당된 ACL의 평가가 중지됩니다. 따라서 IAM 정책만 해당 버킷의 객체에 대한 액세스 권한을 부여합니다.
참고: Cloud Storage로 내보내는 특정 GCP 서비스는 버킷 정책 전용 옵션이 사용 설정된 버킷으로 내보낼 수 없습니다. 여기에는 Stackdriver와 같은 서비스, Compute Engine 사용 보고서 또는 커스텀 이미지 내보내기, Cloud 감사 로깅, Firebase GCP 통합, Cloud SQL, Cloud Spanner, Cloud Billing, Datastore가 포함될 수 있습니다.

constraints/storage.bucketPolicyOnly
"is:"
보관 정책 기간(초) 이 목록 제약조건은 Cloud Storage 버킷에 설정할 수 있는 보관 정책의 기간 집합을 정의합니다
기본적으로 조직 정책을 지정하지 않으면 Cloud Storage 버킷에 모든 기간의 보존 정책을 사용할 수 있습니다.
허용되는 기간의 목록은 초 단위로 보존 정책을 나타내는 0보다 큰 양의 정수 값으로 지정해야 합니다.
조직 리소스에 있는 버킷의 모든 삽입, 업데이트, 패치 작업에는 제약조건과 일치하는 보관 정책 기간이 있어야 합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 새 조직 정책을 적용하면 기존 버킷의 보관 정책은 변경되지 않고 유효한 상태로 유지됩니다.

constraints/storage.retentionPolicySeconds
"is:"

안내 가이드

개별 제약조건을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

제약조건 안내 가이드
constraints/compute.vmExternalIpAccess VM의 외부 IP 액세스 사용 중지
constraints/compute.trustedImageProjects 이미지에 대한 액세스 제한
constraints/iam.allowedPolicyMemberDomains (베타) 도메인별 ID 제한
constraints/iam.disableServiceAccountKeyCreation (베타) 서비스 계정 키 생성 제한
constraints/iam.disableServiceAccountCreation (베타) 서비스 계정 생성 제한
constraints/storage.bucketPolicyOnly(베타) Cloud Storage에서 조직 정책 설정
constraints/storage.retentionPolicySeconds Cloud Storage에서 조직 정책 설정

자세히 알아보기

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서