조직 정책 서비스는 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있는 기능을 제공합니다. 조직 정책 관리자는 전체 리소스 계층 구조에 대한 제한사항을 구성할 수 있습니다.
이점
- 조직의 리소스 사용 방법에 대한 제한사항 구성을 중앙에서 제어합니다.
- 개발팀이 규정을 준수할 수 있도록 가드레일을 정의하고 설정합니다.
- 프로젝트 소유자와 해당 팀에서 규정을 위반하지 않고 신속하게 이동할 수 있도록 지원합니다.
일반 사용 사례
조직 정책을 사용하면 다음을 수행할 수 있습니다.
- 도메인을 기반으로 리소스 공유를 제한합니다.
- ID 및 액세스 관리 서비스 계정 사용을 제한합니다.
- 새로 만든 리소스의 물리적 위치를 제한합니다.
조직의 리소스를 세분화하여 제어할 수 있는 여러 가지 제약조건이 있습니다. 자세한 내용은 모든 조직 정책 서비스 제약조건 목록을 참조하세요.
Identity and Access Management와의 차이점
ID 및 액세스 관리는 누구에 중점을 두며 이를 통해 관리자는 권한을 기반으로 특정 리소스에 조치를 취할 수 있는 사용자를 승인할 수 있습니다.
조직 정책은 무엇에 중점을 두며 이를 통해 관리자는 구성 방법을 결정하기 위해 특정 리소스에 대한 제한사항을 설정할 수 있습니다.
주요 개념
조직 정책
조직 정책은 하나 이상의 Google Cloud 서비스를 제한하는 단일 제약조건을 구성합니다. 조직 정책은 조직, 폴더 또는 프로젝트 리소스에 설정되어 해당 리소스 및 하위 리소스에 제약조건을 적용합니다.
조직 정책에는 제약조건 적용 방법과 적용 여부를 지정하는 하나 이상의 규칙이 포함되어 있습니다. 예를 들어 조직 정책에는 environment=development
태그가 지정된 리소스에만 제약조건을 적용하는 하나의 규칙과 다른 리소스에 대해 제약조건이 적용되지 않도록 방지하는 또 다른 규칙이 포함될 수 있습니다.
조직 정책이 연결된 리소스의 하위 요소는 조직 정책을 상속합니다. 조직 정책 관리자는 조직 리소스에 조직 정책을 적용하여 조직 전반에서 해당 조직 정책의 시행과 제한사항 구성을 제어할 수 있습니다.
제약조건
제약조건은 Google Cloud 서비스 또는 Google Cloud 서비스 목록에 대한 특정 유형의 제한사항입니다. 제약조건은 제어할 동작을 정의하는 청사진과 같습니다. 이 청사진은 리소스 계층 구조의 리소스에 제약조건에서 정의된 규칙을 구현하는 조직 정책으로 적용됩니다. 해당 제약조건에 매핑되고 해당 리소스 계층 구조 노드와 연결된 Google Cloud 서비스는 조직 정책 내에서 구성된 제한사항을 적용합니다.
제약조건의 유형은 목록 또는 부울입니다. 목록 제약조건은 사용자가 제공하는 허용 값이나 거부 값의 목록을 사용하여 제약조건을 평가합니다. 예를 들어 다음 제약조건은 가상 머신에 연결할 수 있는 IP 주소를 제한합니다.
name: organizations/ORGANIZATION_ID/policies/compute.vmExternalIpAccess
spec:
rules:
- values:
allowedValues:
- projects/PROJECT_NAME/zones/ZONE_ID/instances/INSTANCE_NAME
- projects/PROJECT_NAME/zones/ZONE_ID/instances/ANOTHER_INSTANCE_NAME
불리언 제약조건은 특정 리소스에 적용되거나 적용되지 않으며 특정 동작을 제어합니다. 예를 들어 다음 제약조건은 외부 서비스 계정을 만들 수 있는지 여부를 결정합니다.
name: organizations/ORGANIZATION_ID/policies/iam.disableServiceAccountCreation
spec:
rules:
- enforce: true
태그를 사용하면 리소스에 특정 태그가 있는지 여부에 따라 조건부로 제약조건을 적용할 수 있습니다. 태그 및 조직 정책의 제약조건 적용을 사용하면 계층 구조 리소스에 대한 중앙 집중식 제어가 가능합니다.
예를 들어 다음 제약조건은 environment=development
태그가 지정된 리소스에 대해 Cloud Logging을 사용 중지하지만 그 외 모든 곳에서는 사용 설정합니다.
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
rules:
- condition:
expression: resource.matchTag(\"ORGANIZATION_ID/environment\", \"development\")
title: ""
enforce: true
- enforce: false
각 Google Cloud 서비스는 제약조건 유형과 값을 평가하여 제한할 대상을 결정합니다. 제약조건에 대한 자세한 내용은 제약조건 이해 페이지를 참조하세요.
커스텀 조직 정책
커스텀 조직 정책은 사전 정의된 조직 정책과 동일한 방식으로 리소스 만들기 및 업데이트를 허용하거나 제한할 수 있지만 관리자가 요청 매개변수 및 기타 메타데이터를 기준으로 조건을 구성할 수 있습니다.
Dataproc NodePool
리소스와 같은 특정 서비스 리소스의 작업을 제한하는 제약조건으로 커스텀 조직 정책을 만들 수 있습니다. 커스텀 제약조건을 지원하는 서비스 리소스 목록은 커스텀 제약조건 지원 서비스를 참조하세요.
커스텀 조직 정책 사용에 대한 자세한 내용은 커스텀 조직 정책 만들기 및 관리를 참조하세요.
상속
조직 정책이 리소스에 설정되면 해당 리소스의 모든 하위 항목은 기본적으로 조직 정책을 상속합니다. 조직 리소스에 조직 정책을 설정하면 해당 정책에 의해 정의된 제한사항 구성이 모든 하위 폴더, 프로젝트, 서비스 리소스를 통해 전달됩니다.
조직 정책 관리자 역할이 있는 사용자는 상속된 정책을 덮어쓰거나 계층 구조 평가 규칙을 기반으로 병합하는 다른 조직 정책으로 하위 리소스 계층 구조 노드를 설정할 수 있습니다. 이렇게 하면 조직 전반에서 조직 정책이 적용되는 방식과 예외를 적용할 위치를 정밀하게 제어할 수 있습니다.
계층 구조 평가에 대한 자세한 내용은 계층 구조 이해 페이지를 참조하세요.
위반
위반은 Google Cloud 서비스가 리소스 계층 구조의 범위 내에서 조직 정책 제한사항 구성에 반하여 작동하거나 반하는 상태를 말합니다. Google Cloud 서비스는 위반을 방지하기 위해 제약조건을 시행하지만 새로운 조직 정책은 일반적으로 소급 적용되지 않습니다. 조직 정책 제약조건이 소급 시행되는 경우 조직 정책 제약조건 페이지에서 소급 적용 라벨이 지정됩니다.
새로운 조직 정책이 서비스의 동작 또는 상태에 대한 제한사항을 설정하는 경우 정책 위반으로 간주되지만 서비스는 원래 동작을 중지하지 않습니다. 이 위반은 수동으로 해결해야 합니다. 이렇게 하면 새로운 조직 정책으로 인해 비즈니스 연속성이 완전히 중단될 위험이 없습니다.
다음 단계
- 조직 만들기 및 관리 페이지에서 조직 리소스를 확보하는 방법 알아보기
- Google Cloud Console에서 조직 정책을 만들고 관리하는 방법 알아보기
- 제약조건을 사용하여 조직 정책을 정의하는 방법 알아보기
- 조직 정책 제약조건으로 달성할 수 있는 솔루션 살펴보기