조직 정책 제약조건

사용 가능한 제약조건

다음 제약조건을 사용하는 정책을 지정할 수 있습니다. 추가 제약조건이 개발 중입니다.

서비스 제약조건 설명 지원되는 프리픽스
App Engine 소스 코드 다운로드 사용 중지 이전에 App Engine에 업로드한 소스 코드의 코드 다운로드를 사용 중지합니다.
constraints/appengine.disableCodeDownload
"is:"
Cloud SQL 기본 Google 관리 암호화를 Cloud SQL 인스턴스로 제한합니다. 베타: 이 부울 제약조건을 True로 설정하면 새로 만들거나 다시 시작하거나 업데이트한 모든 Cloud SQL 인스턴스에서 고객 관리 암호화 키(CMEK)를 사용해야 합니다. 소급 적용되지 않습니다. 즉, Google 관리 암호화를 사용하는 기존 인스턴스의 경우 업데이트하거나 새로 고치지 않는 한, 영향을 받지 않습니다.
기본적으로 이 제약조건은 False로 설정되며 Cloud SQL 인스턴스에 Google 관리 암호화가 허용됩니다.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL 인스턴스의 승인된 네트워크 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스에 프록시 해제된 데이터베이스 액세스를 위한 승인된 네트워크를 추가하지 못하도록 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 승인된 네트워크가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 승인된 네트워크는 Cloud SQL 인스턴스에 추가할 수 있습니다.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL 인스턴스의 공개 IP 액세스 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스의 공개 IP 구성이 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 공개 IP 액세스가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 Cloud SQL 인스턴스에서는 공개 IP 액세스가 허용됩니다.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Compute Engine 메타데이터의 게스트 속성 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM의 게스트 속성에 대한 Compute Engine API 액세스가 사용 중지됩니다.
기본적으로 Compute Engine VM 게스트 속성에 액세스하는 데 Compute Engine API를 사용할 수 있습니다.

constraints/compute.disableGuestAttributesAccess
"is:"
VM 중첩 가상화 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 모든 Compute Engine VM에서 하드웨어 가속 중첩 가상화가 사용 중지됩니다.
기본적으로 하드웨어 가속 중첩 가상화는 CPU가 Intel Haswell 이상인 플랫폼에서 실행되는 모든 Compute Engine VM에 허용됩니다.

constraints/compute.disableNestedVirtualization
"is:"
VM 직렬 포트 액세스 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에 대한 직렬 포트 액세스가 사용 중지됩니다.
기본적으로 고객은 메타데이터 속성을 사용하여 VM이나 프로젝트별로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 시행하면 메타데이터 속성에 관계없이 Compute Engine VM에서 직렬 포트 액세스가 사용 중지됩니다.

constraints/compute.disableSerialPortAccess
"is:"
Stackdriver에 VM 직렬 포트 로깅 사용 중지 이 부울 제약조건이 적용되는 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에서 Stackdriver의 직렬 포트 로깅이 사용 중지됩니다.
기본적으로 Compute Engine VM의 직렬 포트 로깅이 사용 중지되며, 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 선별적으로 사용 설정할 수 있습니다. 이 제약조건을 시행하면 새 Compute Engine VM이 생성될 때마다 새 VM의 직렬 포트 로깅이 사용 중지되며, 사용자가 기존 또는 새 VM의 메타데이터 속성을 True로 변경할 수 없습니다.
constraints/compute.disableSerialPortLogging
"is:"
OS 로그인 필요 이 부울 제약조건이 true로 설정된 경우 새로 만든 모든 프로젝트에 OS 로그인이 사용 설정됩니다. 새 프로젝트에서 만든 모든 VM 인스턴스에 OS 로그인이 사용 설정됩니다. 신규 및 기존 프로젝트에서 이 제약조건을 설정하면 프로젝트 또는 인스턴스 수준에서 OS 로그인을 사용 중지하는 메타데이터 업데이트가 방지됩니다.
Compute Engine 프로젝트에서는 기본적으로 OS 로그인 기능이 사용 중지되어 있습니다.
GKE 인스턴스는 현재 OS 로그인을 지원하지 않습니다. 이 제약조건이 프로젝트에 적용되는 경우 해당 프로젝트에서 실행 중인 GKE 인스턴스가 제대로 작동하지 않을 수 있습니다.
constraints/compute.requireOsLogin
"is:"
보안 VM 이 부울 제약조건이 True로 설정된 경우 모든 새 Compute Engine VM 인스턴스에서 보안 부팅, vTPM, 무결성 모니터링 옵션을 사용 설정하여 보안 디스크 이미지를 사용해야 합니다. 원하는 경우 생성 후에 보안 부팅을 사용 중지할 수 있습니다. 실행 중인 기존 인스턴스는 계속 평소와 같이 작동합니다.
기본적으로 Compute Engine VM 인스턴스를 만들기 위해 보안 VM 기능을 사용 설정할 필요가 없습니다. 보안 VM 기능을 사용하면 VM의 무결성을 확인할 수 있으며 유출 저항력이 생깁니다.
constraints/compute.requireShieldedVm
"is:"
공유 VPC 호스트 프로젝트 제한 이 목록 제약조건은 이 리소스나 그 아래에 있는 프로젝트에서 연결할 수 있는 공유 VPC 호스트 프로젝트의 집합을 정의합니다. 기본적으로 프로젝트는 동일한 조직의 모든 호스트 프로젝트에 연결할 수 있으며 이를 통해 서비스 프로젝트가 됩니다. 허용/거부 목록의 프로젝트, 폴더, 조직은 리소스 계층 구조에서 하위에 있는 모든 객체에 영향을 미치며 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID 또는 projects/PROJECT_ID 형식으로 지정되어야 합니다.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
공유 VPC 서브네트워크 제한 이 목록 제약조건은 대상 리소스가 사용할 수 있는 공유 VPC 서브네트워크의 집합을 정의하며 공유 VPC 호스트 프로젝트 자체 리소스가 아닌 공유 VPC 서비스 프로젝트의 리소스에만 적용됩니다. 리소스를 만드는 IAM 구성원에게 해당 서브네트워크의 네트워크 사용자 역할이 있다면 기본적으로 서비스 프로젝트의 대상 리소스에서 모든 공유 VPC 서브네트워크를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME 형식으로 지정되어야 합니다.
constraints/compute.restrictSharedVpcSubnetworks
"is:"
VPC 피어링 사용 제한 이 목록 제약조건은 이 프로젝트, 폴더 또는 조직에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 기본적으로 한 네트워크의 네트워크 관리자는 다른 네트워크와 피어링할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictVpcPeering
"is:", "under:"
기본 네트워크 생성 건너뛰기 이 부울 제약조건이 True로 설정된 경우, Google Cloud Platform 프로젝트 리소스 생성 도중 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 프로젝트 리소스를 만들 때 기본 네트워크 및 지원 리소스가 자동으로 생성됩니다.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute 저장소 리소스 사용 제한(Compute Engine 디스크, 이미지, 스냅샷) 이 목록 제약조건은 Compute Engine의 저장소 리소스를 사용하도록 허용되는 프로젝트 집합을 정의합니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 Compute Engine 리소스에 액세스할 수 있습니다. 이 제약조건을 사용하는 경우 사용자는 Cloud IAM 권한이 있어야 하며 제약 조건이 이 사용자의 리소스 액세스를 제한해서는 안 됩니다.
허용 또는 거부 목록에 지정된 프로젝트, 폴더, 조직은 under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID 형식이어야 합니다.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
신뢰할 수 있는 이미지 프로젝트 정의 이 목록 제약조건은 Compute Engine의 이미지 스토리지 및 디스크 인스턴스화에 사용할 수 있는 프로젝트 집합을 정의합니다.
기본적으로 이미지를 사용자와 공개적으로 또는 명시적으로 공유하는 모든 프로젝트의 이미지에서 인스턴스를 만들 수 있습니다.
게시자 프로젝트의 허용/거부 목록은 projects/PROJECT_ID 형식의 문자열이어야 합니다. 이 제약조건이 활성 상태이면 신뢰할 수 있는 프로젝트의 이미지만 새 인스턴스의 부팅 디스크 소스로 허용됩니다.

constraints/compute.trustedImageProjects
"is:"
VM IP 전달 제한 이 목록 제약조건은 IP 전달을 사용 설정할 수 있는 VM 인스턴스의 집합을 정의합니다. 기본적으로 모든 VM이 모든 가상 네트워크에서 IP 전달을 사용 설정할 수 있습니다. VM 인스턴스는 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 형식으로 지정되어야 합니다.
constraints/compute.vmCanIpForward
"is:"
VM 인스턴스에 허용되는 외부 IP 정의 이 목록 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스의 집합을 정의합니다.
기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다.
VM 인스턴스의 허용/거부 목록은 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess 형식의 VM 인스턴스 이름으로 식별되어야 합니다.
"is:"
Cloud Identity and Access Management 도메인 제한 공유 베타: 이 목록 제약조건은 Cloud IAM 정책에 추가할 수 있는 구성원 집합을 정의합니다.
기본적으로 모든 사용자 ID를 Cloud IAM 정책에 추가할 수 있습니다.
허용/거부 목록에서 Cloud ID 또는 G Suite 고객 ID를 하나 이상 지정해야 합니다. 이 제약조건이 활성 상태이면 허용 목록에 있는 ID만 Cloud IAM 정책에 추가할 수 있습니다.

constraints/iam.allowedPolicyMemberDomains
"is:"
허용된 루트 인증 기관 정의 베타: 이 목록 제약조건은 발급된 공개 인증서를 Cloud IAM 서비스 계정에 추가할 수 있는 신뢰할 수 있는 루트 인증 기관의 집합을 정의합니다.
기본적으로 모든 공개 인증서를 Cloud IAM 서비스 계정에 업로드할 수 있습니다.
이 제약조건이 활성 상태이면 허용 목록에 있는 루트 인증 기관에서 발급한 공개 인증서만 Cloud IAM 서비스 계정에 추가할 수 있습니다.
constraints/iam.allowedPublicCertificateTrustedRootCA
"is:"
서비스 계정 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정의 생성을 사용 중지합니다.
기본적으로 서비스 계정은 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다. constraints/iam.disableServiceAccountCreation
"is:"
서비스 계정 키 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정 외부 키의 생성을 사용 중지합니다.
기본적으로 서비스 계정 외부 키는 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다. constraints/iam.disableServiceAccountKeyCreation
"is:"
Resource Manager 공유 VPC 프로젝트 선취권 삭제 제한 이 부울 제약조건이 True로 설정된 경우, 조직 수준의 권한 없이 공유 VPC 프로젝트 선취권을 삭제할 수 있는 사용자 집합을 제한합니다.
기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 공유 VPC 프로젝트 선취권을 삭제할 수 있습니다. 이 제약조건을 시행할 경우 조직 수준에서 권한이 부여되어야 합니다.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
Google Cloud Platform Google Cloud Platform - 리소스 위치 제한 베타: 이 목록 제약조건은 위치 기반 GCP 리소스를 만들 수 있는 위치 집합을 정의합니다. 이 제약조건의 정책으로 멀티 리전(예: asia, europe), 리전(예: us-east1, europe-west1) 또는 개별 영역(예: europe-west1-b)을 허용되거나 거부되는 위치로 지정할 수 있습니다. 허용되거나 거부되는 모든 위치를 명시적으로 나열해야 합니다. 멀티 리전 또는 리전을 허용하거나 거부한다고 해서 포함된 모든 하위 위치도 허용되거나 거부되는 것은 아닙니다. 예를 들어 정책에서 us-east1 리전을 거부해도 us-east1-a 영역 위치에서 계속 리소스를 만들 수 있습니다. 하위 위치를 포함하려면 in: 프리픽스를 사용하세요. 예를 들어 in:us-east1-locations를 허용하면 us-east1 내에 있는 모든 위치가 허용됩니다.
값 그룹, 즉 리소스 위치를 정의하는 간단한 방법을 제공하기 위해 Google이 선별한 위치 모음을 지정할 수 있습니다. 조직 정책에 값 그룹을 사용하려면 값 그룹 앞에 in: 문자열로 항목에 프리픽스를 지정하세요.
위치 정책에 suggested_value 필드를 사용하는 경우 이 필드가 리전 또는 영역이어야 합니다. 지정된 값이 리전이면 영역 리소스의 UI에 해당 리전의 영역이 자동으로 입력될 수 있습니다. 지정된 값이 영역이면 리전 리소스의 UI에 영역이 포함된 리전이 자동으로 입력될 수 있습니다.
기본적으로 모든 위치에 리소스를 만들 수 있습니다.
constraints/gcp.resourceLocations
"is:", "in:"
허용되는 API 및 서비스 정의 이 목록 제약조건은 이 리소스 및 하위 리소스에서 사용 설정할 수 있는 서비스 및 서비스의 API 집합을 정의합니다.
기본적으로 모든 서비스가 허용됩니다.
서비스의 거부 목록은 API의 문자열 이름으로 식별되어야 하며 아래 목록에서 명시적으로 거부된 값만 포함해야 합니다. API를 명시적으로 허용하는 것은 현재 지원되지 않습니다. 이 목록에 없는 API를 명시적으로 거부하면 오류가 발생합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 이 제약조건을 시행할 때 리소스에서 이미 사용 설정되어 있는 서비스는 사용 설정된 상태로 유지됩니다.

constraints/serviceuser.services
"is:"
Cloud Storage 보관 정책 기간(초) 이 목록 제약조건은 Cloud Storage 버킷에 설정할 수 있는 보관 정책의 기간 집합을 정의합니다
기본적으로 지정된 조직 정책이 없으면 Cloud Storage 버킷에 원하는 기간의 보관 정책을 사용할 수 있습니다.
허용되는 기간의 목록은 초 단위로 보관 정책을 나타내는 0보다 큰 양의 정숫값으로 지정해야 합니다.
조직 리소스에 있는 버킷의 모든 삽입, 업데이트, 패치 작업에는 제약조건과 일치하는 보관 정책 기간이 있어야 합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 새 조직 정책을 적용하면 기존 버킷의 보관 정책은 변경되지 않고 유효한 상태로 유지됩니다.

constraints/storage.retentionPolicySeconds
"is:"
균일한 버킷 수준 액세스 권한 적용 이 부울 제약조건이 True로 설정되면 버킷에서 균일한 버킷 수준 액세스 권한을 사용해야 합니다. 조직 리소스의 새 버킷에 균일한 버킷 수준 액세스 권한이 사용 설정되어야 하며, 조직 리소스의 기존 버킷은 균일한 버킷 수준 액세스 권한을 사용 중지할 수 없습니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 균일한 버킷 수준 액세스 권한이 사용 중지된 기존 버킷은 계속 이 권한이 사용 중지된 상태로 유지됩니다. 이 제약조건의 기본값은 False입니다.
균일한 버킷 수준 액세스 권한을 적용하면 버킷의 Cloud Storage 객체에 할당된 ACL의 평가가 중지됩니다. 따라서 IAM 정책만 해당 버킷의 객체에 대한 액세스 권한을 부여합니다.

constraints/storage.uniformBucketLevelAccess
"is:"

안내 가이드

개별 제약조건을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

제약조건 안내 가이드
constraints/compute.vmExternalIpAccess VM의 외부 IP 액세스 사용 중지
constraints/compute.trustedImageProjects 이미지에 대한 액세스 제한
constraints/iam.allowedPolicyMemberDomains(베타) 도메인별 ID 제한
constraints/iam.disableServiceAccountKeyCreation 서비스 계정 키 생성 제한
constraints/iam.disableServiceAccountCreation 서비스 계정 생성 제한
constraints/storage.uniformBucketLevelAccess Cloud Storage에서 조직 정책 설정
constraints/storage.retentionPolicySeconds Cloud Storage에서 조직 정책 설정
constraints/gcp.resourceLocations 리소스 위치 제한

자세히 알아보기

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.