조직 정책 제약조건

사용 가능한 제약조건

다음 제약조건을 사용하는 정책을 지정할 수 있습니다. 추가 제약조건이 개발 중입니다.

여러 Google Cloud 서비스에서 지원하는 제약조건

제약조건 설명 지원되는 프리픽스
Google Cloud Platform - 리소스 위치 제한 이 목록 제약조건은 위치 기반 GCP 리소스를 만들 수 있는 위치 집합을 정의합니다.
기본적으로 모든 위치에 리소스를 만들 수 있습니다.
이 제약조건에 대한 정책은 asiaeurope과 같은 멀티 리전, us-east1 또는 europe-west1과 같은 리전을 허용 또는 거부된 위치로 지정할 수 있습니다. 멀티 리전을 허용하거나 거부한다고 해서 포함된 모든 하위 위치도 허용되거나 거부되는 것은 아닙니다. 예를 들어 정책이 us 멀티 리전을 거부하더라도 리전 위치 us-east1에 리소스를 계속 만들 수 있습니다.
값 그룹을 사용하여 정책을 정의하는 것이 좋습니다.
값 그룹, 즉 리소스 위치를 정의하는 간단한 방법을 제공하기 위해 Google이 선별한 위치 모음을 지정할 수 있습니다. 조직 정책에 값 그룹을 사용하려면 값 그룹 앞에 in: 문자열로 항목에 프리픽스를 지정하세요.
예를 들어 미국에만 물리적으로 위치하는 리소스를 만들려면 허용되는 값 목록에 in:us-locations를 설정하세요.
위치 정책에 suggested_value 필드가 사용되는 경우에는 리전이어야 합니다. 지정된 값이 리전이면 영역 리소스의 UI에 해당 리전의 영역이 자동으로 입력될 수 있습니다.
constraints/gcp.resourceLocations
"is:" "in:"
허용된 Google Cloud API 및 서비스 제한 이 목록 제약조건은 이 리소스에서 사용 설정할 수 있는 서비스 및 서비스 API의 집합을 제한합니다. 기본적으로 모든 서비스가 허용됩니다.
서비스의 거부 목록이 아래 목록에 속해야 합니다. 이 제약조건을 통해 API를 명시적으로 사용 설정하는 것은 현재 지원되지 않습니다. 다음 목록에 없는 API를 지정하면 오류가 발생합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 이 제약조건을 시행할 때 리소스에서 이미 사용 설정되어 있는 서비스는 사용 설정된 상태로 유지됩니다.

constraints/serviceuser.services
"is:"

특정 서비스에 대한 제약조건

서비스 제약조건 설명 지원되는 프리픽스
App Engine 소스 코드 다운로드 사용 중지 이전에 App Engine에 업로드한 소스 코드의 코드 다운로드를 사용 중지합니다.
constraints/appengine.disableCodeDownload
"is:"
Cloud Functions 허용되는 인그레스 설정(Cloud Functions) 이 목록 제약조건은 Cloud 함수의 배포에 허용되는 인그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 인그레스 설정을 사용해야 합니다.
기본적으로 Cloud Functions는 모든 인그레스 설정을 사용할 수 있습니다.
인그레스 설정은 IngressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.

constraints/cloudfunctions.allowedIngressSettings
"is:"
허용되는 VPC 커넥터 이그레스 설정(Cloud Functions) 이 목록 제약조건은 Cloud 함수의 배포에 허용되는 VPC 커넥터 이그레스 설정을 정의합니다. 이 제약조건이 적용되면 함수에서 허용되는 값 중 하나와 일치하는 VPC 커넥터 이그레스 설정을 사용해야 합니다.
기본적으로 Cloud Functions는 모든 VPC 커넥터 이그레스 설정을 사용할 수 있습니다.
VPC 커넥터 이그레스 설정은 VpcConnectorEgressSettings 열거형 값을 사용하여 허용 목록에 지정되어야 합니다.

constraints/cloudfunctions.allowedVpcConnectorEgressSettings
"is:"
VPC 커넥터 필요(Cloud Functions) 이 부울 제약조건은 Cloud 함수를 배포할 때 VPC 커넥터 설정을 적용합니다. 이 제약조건이 적용되면 함수에서 VPC 커넥터를 지정해야 합니다.
기본적으로 Cloud 함수를 배포하기 위해 VPC 커넥터를 지정할 필요는 없습니다.

constraints/cloudfunctions.requireVPCConnector
"is:"
Cloud SQL 기본 Google 관리 암호화를 Cloud SQL 인스턴스로 제한합니다. 베타: 이 부울 제약조건을 True로 설정하면 새로 만들거나 다시 시작하거나 업데이트한 모든 Cloud SQL 인스턴스에서 고객 관리 암호화 키(CMEK)를 사용해야 합니다. 소급 적용되지 않습니다. 즉, Google 관리 암호화를 사용하는 기존 인스턴스의 경우 업데이트하거나 새로 고치지 않는 한, 영향을 받지 않습니다.
기본적으로 이 제약조건은 False로 설정되며 Cloud SQL 인스턴스에 Google 관리 암호화가 허용됩니다.

constraints/sql.disableDefaultEncryptionCreation
"is:"
Cloud SQL 인스턴스의 승인된 네트워크 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스에 프록시 해제된 데이터베이스 액세스를 위한 승인된 네트워크를 추가하지 못하도록 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 승인된 네트워크가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 승인된 네트워크는 Cloud SQL 인스턴스에 추가할 수 있습니다.

constraints/sql.restrictAuthorizedNetworks
"is:"
Cloud SQL 인스턴스의 공개 IP 액세스 제한 이 부울 제약조건이 True로 설정된 경우 Cloud SQL 인스턴스의 공개 IP 구성이 제한됩니다. 이 제약조건은 소급 적용되지 않습니다. 따라서 이 제약조건을 시행해도 기존의 공개 IP 액세스가 포함된 Cloud SQL 인스턴스는 계속 작동합니다.
기본적으로 Cloud SQL 인스턴스에서는 공개 IP 액세스가 허용됩니다.

constraints/sql.restrictPublicIp
"is:"
Compute Engine Compute Engine 메타데이터의 게스트 속성 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM의 게스트 속성에 대한 Compute Engine API 액세스가 사용 중지됩니다.
기본적으로 Compute Engine VM 게스트 속성에 액세스하는 데 Compute Engine API를 사용할 수 있습니다.

constraints/compute.disableGuestAttributesAccess
"is:"
인터넷 네트워크 엔드포인트 그룹 사용 중지 이 부울 제약조건은 사용자가 INTERNET_FQDN_PORTINTERNET_IP_PORTtype으로 네트워크 엔드포인트 그룹(NEG)을 만들 수 있는지 여부를 제한합니다.
기본적으로 적절한 IAM 권한이 있는 모든 사용자가 원하는 프로젝트에 인터넷 NEG를 만들 수 있습니다.
constraints/compute.disableInternetNetworkEndpointGroup
"is:"
VM 중첩 가상화 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 모든 Compute Engine VM에서 하드웨어 가속 중첩 가상화가 사용 중지됩니다.
기본적으로 하드웨어 가속 중첩 가상화는 CPU가 Intel Haswell 이상인 플랫폼에서 실행되는 모든 Compute Engine VM에 허용됩니다.

constraints/compute.disableNestedVirtualization
"is:"
VM 직렬 포트 액세스 사용 중지 이 부울 제약조건이 True로 설정된 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에 대한 직렬 포트 액세스가 사용 중지됩니다.
기본적으로 고객은 메타데이터 속성을 사용하여 VM이나 프로젝트별로 Compute Engine VM에서 직렬 포트 액세스를 사용 설정할 수 있습니다. 이 제약조건을 시행하면 메타데이터 속성에 관계없이 Compute Engine VM에서 직렬 포트 액세스가 사용 중지됩니다.

constraints/compute.disableSerialPortAccess
"is:"
Stackdriver에 VM 직렬 포트 로깅 사용 중지 이 부울 제약조건이 적용되는 조직, 프로젝트 또는 폴더에 속한 Compute Engine VM에서 Stackdriver의 직렬 포트 로깅이 사용 중지됩니다.
기본적으로 Compute Engine VM의 직렬 포트 로깅이 사용 중지되며, 메타데이터 속성을 사용하여 VM 또는 프로젝트 단위로 선별적으로 사용 설정할 수 있습니다. 이 제약조건을 시행하면 새 Compute Engine VM이 생성될 때마다 새 VM의 직렬 포트 로깅이 사용 중지되며, 사용자가 기존 또는 새 VM의 메타데이터 속성을 True로 변경할 수 없습니다.
constraints/compute.disableSerialPortLogging
"is:"
OS 로그인 필요 이 부울 제약조건이 true로 설정된 경우 새로 만든 모든 프로젝트에 OS 로그인이 사용 설정됩니다. 새 프로젝트에서 만든 모든 VM 인스턴스에 OS 로그인이 사용 설정됩니다. 신규 및 기존 프로젝트에서 이 제약조건을 설정하면 프로젝트 또는 인스턴스 수준에서 OS 로그인을 사용 중지하는 메타데이터 업데이트가 방지됩니다.
Compute Engine 프로젝트에서는 기본적으로 OS 로그인 기능이 사용 중지되어 있습니다.
GKE 인스턴스는 현재 OS 로그인을 지원하지 않습니다. 이 제약조건이 프로젝트에 적용되는 경우 해당 프로젝트에서 실행 중인 GKE 인스턴스가 제대로 작동하지 않을 수 있습니다.
constraints/compute.requireOsLogin
"is:"
보안 VM 이 부울 제약조건이 True로 설정된 경우 모든 새 Compute Engine VM 인스턴스에서 보안 부팅, vTPM, 무결성 모니터링 옵션을 사용 설정하여 보안 디스크 이미지를 사용해야 합니다. 원하는 경우 생성 후에 보안 부팅을 사용 중지할 수 있습니다. 실행 중인 기존 인스턴스는 계속 평소와 같이 작동합니다.
기본적으로 Compute Engine VM 인스턴스를 만들기 위해 보안 VM 기능을 사용 설정할 필요가 없습니다. 보안 VM 기능을 사용하면 VM의 무결성을 확인할 수 있으며 유출 저항력이 생깁니다.
constraints/compute.requireShieldedVm
"is:"
인증된 Google 연결 제한 이 목록 제약조건은 프로덕션에서 클라우드로 인증된 Google 연결을 사용할 수 있는 Compute Engine VM의 집합을 정의합니다. 인증된 Google 연결만 사용하는 것은 지원되지 않습니다. constraints/compute.restrictDirectGoogleAccess(클라우드에서 프로덕션으로) 및 constraints/compute.restrictAuthenticatedGoogleConnection(프로덕션에서 클라우드로)에서 VM을 허용하는 경우에만 VM에서 양방향 Google 액세스를 사용할 수 있습니다. 기본적으로 모든 서브네트워크는 모든 유형의 직접적인 Google 액세스를 사용할 수 있습니다. VM의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictAuthenticatedGoogleConnection
형식으로 식별되어야 합니다.
"is:" "under:"
Cloud NAT 사용량 제한 이 목록 제약조건은 Cloud NAT를 사용할 수 있는 서브네트워크의 집합을 정의합니다. 기본적으로 모든 서브네트워크가 Cloud NAT를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION_NAME/subnetworks/SUBNETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictCloudNATUsage
"is:", "under:"
Dedicated Cloud Interconnect 사용량 제한 이 목록 제약조건은 Dedicated Cloud Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Cloud Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictDedicatedInterconnectUsage
"is:" "under:"
직접적인 Google 액세스 제한 이 목록 제약조건은 클라우드에서 프로덕션으로 직접적인 Google 액세스를 사용할 수 있는 Compute Engine VM의 집합을 정의합니다. 기본적으로 모든 서브네트워크는 모든 유형의 직접적인 Google 액세스를 사용할 수 있습니다. VM의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE_NAME/instances/INSTANCE_NAME.
constraints/compute.restrictDirectGoogleAccess
형식으로 식별되어야 합니다.
"is:" "under:"
부하 분산기 유형에 따라 부하 분산기 생성 제한 이 목록 제약조건은 조직, 폴더 또는 프로젝트용으로 만들 수 있는 부하 분산기 유형의 집합을 정의합니다. 허용되거나 거부되는 모든 부하 분산기 유형을 명시적으로 나열해야 합니다. 기본적으로 모든 유형의 부하 분산기 생성이 허용됩니다.
허용되거나 거부되는 값의 목록은 부하 분산기의 문자열 이름으로 식별되어야 하며 아래 목록의 값만 포함할 수 있습니다.
  • INTERNAL_TCP_UDP
  • INTERNAL_HTTP_HTTPS
  • EXTERNAL_NETWORK_TCP_UDP
  • EXTERNAL_TCP_PROXY
  • EXTERNAL_SSL_PROXY
  • EXTERNAL_HTTP_HTTPS

내부 또는 모든 외부 부하 분산기 유형을 모두 포함하려면 in: 프리픽스 다음에 INTERNAL 또는 EXTERNAL을 사용하세요. 예를 들어 in:INTERNAL을 허용하면 위 목록에서 INTERNAL이 포함된 모든 부하 분산기 유형이 허용됩니다.
constraints/compute.restrictLoadBalancerCreationForTypes
"is:" "in:"
Partner Cloud Interconnect 사용량 제한 이 목록 제약조건은 Partner Cloud Interconnect를 사용할 수 있는 Compute Engine 네트워크의 집합을 정의합니다. 기본적으로 네트워크는 모든 유형의 Cloud Interconnect를 사용할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
constraints/compute.restrictPartnerInterconnectUsage
"is:", "under:"
IP 주소 유형에 따라 프로토콜 전달 제한 이 목록 제약조건은 사용자가 만들 수 있는 대상 인스턴스가 있는 프로토콜 전달 규칙 객체의 유형을 정의합니다. 이 제약조건이 적용되면 지정된 유형에 따라 대상 인스턴스가 있는 새로운 전달 규칙 객체가 내부 또는 외부 IP 주소로 제한됩니다. 허용되거나 거부되는 유형을 명시적으로 나열해야 합니다. 기본적으로 대상 인스턴스가 있는 내부 및 외부 프로토콜 전달 규칙 객체를 둘 다 만드는 것이 허용됩니다.
허용되거나 거부되는 값의 목록은 아래 목록의 값만 포함해야 합니다.
  • INTERNAL
  • EXTERNAL
.
constraints/compute.restrictProtocolForwardingCreationForTypes
"is:"
공유 VPC 호스트 프로젝트 제한 이 목록 제약조건은 이 리소스나 그 아래에 있는 프로젝트에서 연결할 수 있는 공유 VPC 호스트 프로젝트의 집합을 정의합니다. 기본적으로 프로젝트는 동일한 조직의 모든 호스트 프로젝트에 연결할 수 있으며 이를 통해 서비스 프로젝트가 됩니다. 허용/거부 목록의 프로젝트, 폴더, 조직은 리소스 계층 구조에서 하위에 있는 모든 객체에 영향을 미치며 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID 또는 projects/PROJECT_ID 형식으로 지정되어야 합니다.
constraints/compute.restrictSharedVpcHostProjects
"is:", "under:"
공유 VPC 서브네트워크 제한 이 목록 제약조건은 대상 리소스가 사용할 수 있는 공유 VPC 서브네트워크의 집합을 정의하며 같은 프로젝트 내의 리소스에는 적용되지 않습니다. 기본적으로 대상 리소스는 모든 공유 VPC 서브네트워크를 사용할 수 있습니다. 서브네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK-NAME 형식으로 지정해야 합니다.
constraints/compute.restrictSharedVpcSubnetworks
"is:", "under:"
VPC 피어링 사용 제한 이 목록 제약조건은 이 프로젝트, 폴더 또는 조직에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 기본적으로 한 네트워크의 네트워크 관리자는 다른 네트워크와 피어링할 수 있습니다. 네트워크의 허용/거부 목록은 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/global/networks/NETWORK_NAME 형식으로 식별되어야 합니다.
이 제약조건은 소급 적용됩니다.
constraints/compute.restrictVpcPeering
"is:", "under:"
VPN 피어 IP 제한 이 목록 제약조건은 VPN 피어 IP로 구성할 수 있는 유효한 IP-v4 주소의 집합을 정의합니다. 기본적으로 모든 IP가 VPC 네트워크의 VPN 피어 IP가 될 수 있습니다. IP 주소의 허용/거부 목록은 IP_V4_ADDRESS 형식의 유효한 IP-v4 주소로 지정되어야 합니다.
constraints/compute.restrictVpnPeerIPs
"is:"
기본 네트워크 생성 건너뛰기 이 부울 제약조건이 True로 설정된 경우, Google Cloud Platform 프로젝트 리소스 생성 도중 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본적으로 프로젝트 리소스를 만들 때 기본 네트워크 및 지원 리소스가 자동으로 생성됩니다.

constraints/compute.skipDefaultNetworkCreation
"is:"
Compute 저장소 리소스 사용 제한(Compute Engine 디스크, 이미지, 스냅샷) 이 목록 제약조건은 Compute Engine의 저장소 리소스를 사용하도록 허용되는 프로젝트 집합을 정의합니다. 기본적으로 적절한 Cloud IAM 권한이 있으면 누구나 Compute Engine 리소스에 액세스할 수 있습니다. 이 제약조건을 사용하는 경우 사용자는 Cloud IAM 권한이 있어야 하며 제약 조건이 이 사용자의 리소스 액세스를 제한해서는 안 됩니다.
허용 또는 거부 목록에 지정된 프로젝트, 폴더, 조직은 under:projects/PROJECT_ID, under:folders/FOLDER_ID, under:organizations/ORGANIZATION_ID 형식이어야 합니다.

constraints/compute.storageResourceUseRestrictions
"is:", "under:"
신뢰할 수 있는 이미지 프로젝트 정의 이 목록 제약조건은 Compute Engine의 이미지 스토리지 및 디스크 인스턴스화에 사용할 수 있는 프로젝트 집합을 정의합니다.
기본적으로 이미지를 사용자와 공개적으로 또는 명시적으로 공유하는 모든 프로젝트의 이미지에서 인스턴스를 만들 수 있습니다.
게시자 프로젝트의 허용/거부 목록은 projects/PROJECT_ID 형식의 문자열이어야 합니다. 이 제약조건이 활성 상태이면 신뢰할 수 있는 프로젝트의 이미지만 새 인스턴스의 부팅 디스크 소스로 허용됩니다.

constraints/compute.trustedImageProjects
"is:"
VM IP 전달 제한 이 목록 제약조건은 IP 전달을 사용 설정할 수 있는 VM 인스턴스의 집합을 정의합니다. 기본적으로 모든 VM이 모든 가상 네트워크에서 IP 전달을 사용 설정할 수 있습니다. VM 인스턴스는 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID 또는 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME 형식으로 지정되어야 합니다.
constraints/compute.vmCanIpForward
"is:", "under:"
VM 인스턴스에 허용되는 외부 IP 정의 이 목록 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스의 집합을 정의합니다.
기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다.
VM 인스턴스의 허용/거부 목록은 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE

constraints/compute.vmExternalIpAccess 형식의 VM 인스턴스 이름으로 식별되어야 합니다.
"is:"
Cloud Healthcare Cloud Logging 사용 중지 이 제약조건이 적용되는 조직, 프로젝트 또는 폴더에서 Cloud Logging을 사용 중지합니다. 감사 로그는 이 제약조건의 영향을 받지 않습니다.
제약조건이 적용되기 전에 생성된 로그는 삭제되지 않으며 이러한 로그에 계속 액세스할 수 있습니다.
이 제약조건은 Cloud Healthcare API에서만 지원됩니다.
constraints/gcp.disableCloudLogging
"is:"
ID 및 액세스 관리 OAuth 2.0 액세스 토큰의 수명을 최대 12시간으로 연장하는 것을 허용합니다. 이 목록 제약조건은 최대 12시간의 수명으로 OAuth 2.0 액세스 토큰을 부여받을 수 있는 서비스 계정의 집합을 정의합니다. 기본적으로 이러한 액세스 토큰의 최대 수명은 1시간입니다.
서비스 계정의 허용/거부 목록에서 서비스 계정 이메일 주소를 하나 이상 지정해야 합니다.
constraints/iam.allowServiceAccountCredentialLifetimeExtension
"is:"
도메인 제한 공유 이 목록 제약조건은 Cloud IAM 정책에 추가할 수 있는 구성원의 집합을 정의합니다.
기본적으로 모든 사용자 ID를 Cloud IAM 정책에 추가할 수 있습니다.
허용/거부 목록에서 Cloud ID 또는 G Suite 고객 ID를 하나 이상 지정해야 합니다. 이 제약조건이 활성 상태이면 허용 목록에 있는 ID만 Cloud IAM 정책에 추가할 수 있습니다.

constraints/iam.allowedPolicyMemberDomains
"is:"
서비스 계정 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정의 생성을 사용 중지합니다.
기본적으로 서비스 계정은 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다.

constraints/iam.disableServiceAccountCreation
"is:"
서비스 계정 키 생성 사용 중지 `True`로 설정할 경우 이 부울 제약조건은 서비스 계정 외부 키의 생성을 사용 중지합니다.
기본적으로 서비스 계정 외부 키는 사용자가 자신의 Cloud IAM 역할 및 권한을 기반으로 만들 수 있습니다.

constraints/iam.disableServiceAccountKeyCreation
"is:"
서비스 계정 키 업로드 사용 중지 'True'로 설정할 경우 이 부울 제약조건은 서비스 계정에 공개 키를 업로드하도록 허용하는 기능을 사용 중지합니다.
기본적으로 사용자는 Cloud IAM 역할 및 권한을 기반으로 서비스 계정에 공개 키를 업로드할 수 있습니다.
constraints/iam.disableServiceAccountKeyUpload
"is:"
워크로드 아이덴티티 클러스터 생성 사용 중지 이 부울 제약조건이 `True`로 설정된 경우 생성 당시에 모든 새 GKE 클러스터에 워크로드 아이덴티티가 사용 중지되어야 합니다. 워크로드 아이덴티티가 이미 사용 설정된 기존 GKE는 계속 평소와 같이 작동합니다. 기본적으로 워크로드 아이덴티티는 모든 GKE 클러스터에 사용 설정될 수 있습니다.
constraints/iam.disableWorkloadIdentityClusterCreation
"is:"
Resource Manager 공유 VPC 프로젝트 선취권 삭제 제한 이 부울 제약조건이 True로 설정된 경우, 조직 수준의 권한 없이 공유 VPC 프로젝트 선취권을 삭제할 수 있는 사용자 집합을 제한합니다.
기본적으로 선취권 업데이트 권한이 있는 모든 사용자가 공유 VPC 프로젝트 선취권을 삭제할 수 있습니다. 이 제약조건을 시행할 경우 조직 수준에서 권한이 부여되어야 합니다.

constraints/compute.restrictXpnProjectLienRemoval
"is:"
서비스 소비자 관리 기본 서비스 계정에 대한 자동 IAM 부여 사용 중지 이 부울 제약 조건이 적용되면 프로젝트에서 생성된 기본 App Engine 및 Compute Engine 서비스 계정에 계정을 만들 때 프로젝트에 대한 IAM 역할이 자동으로 부여되는 것이 방지됩니다.
기본적으로 이러한 서비스 계정은 생성될 때 자동으로 편집자 역할을 받습니다.
constraints/iam.automaticIamGrantsForDefaultServiceAccounts
"is:"
Cloud Storage Google Cloud Platform - 상세한 감사 로깅 모드 상세한 감사 로깅 모드가 적용되면 요청 및 응답이 둘 다 Cloud 감사 로그에 포함됩니다. 이 기능을 변경하면 반영되는 데 최대 10분이 걸릴 수 있습니다. 이 조직 정책은 SEC 규칙 17a-4(f), CFTC 규칙 1.31(c)-(d), FINRA 규칙 4511(c) 등의 규정 준수를 모색할 때 버킷 잠금과 함께 사용하는 것이 좋습니다. 이 정책은 현재 Google Cloud Storage에서만 지원됩니다.
constraints/gcp.detailedAuditLoggingMode
"is:"
보관 정책 기간(초) 이 목록 제약조건은 Cloud Storage 버킷에 설정할 수 있는 보관 정책의 기간 집합을 정의합니다.
기본적으로 지정된 조직 정책이 없으면 Cloud Storage 버킷에 원하는 기간의 보관 정책을 사용할 수 있습니다.
허용되는 기간의 목록은 초 단위로 보관 정책을 나타내는 0보다 큰 양의 정숫값으로 지정해야 합니다.
조직 리소스에 있는 버킷의 모든 삽입, 업데이트, 패치 작업에는 제약조건과 일치하는 보관 정책 기간이 있어야 합니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 새 조직 정책을 적용하면 기존 버킷의 보관 정책은 변경되지 않고 유효한 상태로 유지됩니다.

constraints/storage.retentionPolicySeconds
"is:"
균일한 버킷 수준 액세스 권한 적용 이 부울 제약조건이 True로 설정되면 버킷에서 균일한 버킷 수준 액세스 권한을 사용해야 합니다. 조직 리소스의 새 버킷에 균일한 버킷 수준 액세스 권한이 사용 설정되어야 하며, 조직 리소스의 기존 버킷은 균일한 버킷 수준 액세스 권한을 사용 중지할 수 없습니다.
이 제약조건을 시행해도 소급 적용되지 않습니다. 균일한 버킷 수준 액세스 권한이 사용 중지된 기존 버킷은 계속 이 권한이 사용 중지된 상태로 유지됩니다. 이 제약조건의 기본값은 False입니다.
균일한 버킷 수준 액세스 권한을 적용하면 버킷의 Cloud Storage 객체에 할당된 ACL의 평가가 중지됩니다. 따라서 IAM 정책만 해당 버킷의 객체에 대한 액세스 권한을 부여합니다.

constraints/storage.uniformBucketLevelAccess
"is:"

안내 가이드

개별 제약조건을 사용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

제약조건 안내 가이드
constraints/cloudfunctions.allowedIngressSettings VPC 서비스 제어 사용
constraints/compute.restrictCloudNATUsage Cloud NAT 사용량 제한
constraints/compute.restrictLoadBalancerCreationForTypes Cloud Load Balancing 제약조건
constraints/compute.restrictProtocolForwardingCreationForTypes 프로토콜 전달 제약조건
constraints/constraints/compute.restrictDedicatedInterconnectUsage
constraints/compute.restrictPartnerInterconnectUsage
Cloud Interconnect 사용 제한
constraints/compute.restrictVpnPeerIPs Cloud VPN 터널을 통해 피어 IP 주소 제한
constraints/compute.trustedImageProjects 이미지에 대한 액세스 제한
constraints/compute.vmExternalIpAccess VM의 외부 IP 액세스 사용 중지
constraints/iam.allowedPolicyMemberDomains 도메인별 ID 제한
constraints/iam.allowServiceAccountCredentialLifetimeExtension OAuth 2.0 액세스 토큰의 수명 연장
constraints/iam.disableServiceAccountCreation 서비스 계정 생성 제한
constraints/iam.disableServiceAccountKeyCreation 서비스 계정 키 생성 제한
constraints/iam.disableServiceAccountKeyUpload 서비스 계정 키 업로드 제한
constraints/iam.disableWorkloadIdentityClusterCreation 워크로드 아이덴티티 클러스터 만들기 제한
constraints/gcp.detailedAuditLoggingMode
constraints/storage.retentionPolicySeconds
constraints/storage.uniformBucketLevelAccess
Cloud Storage의 조직 정책 제약조건
constraints/gcp.disableCloudLogging Cloud Logging 사용 중지
constraints/gcp.resourceLocations 리소스 위치 제한
constraints/compute.restrictCloudNATUsage Cloud NAT에서 조직 정책 설정

자세히 알아보기

조직 정책의 핵심 개념에 대한 자세한 내용은 다음을 참조하세요.