리소스 사용량 제한

이 페이지에서는 기업 관리자가 Google Cloud 리소스 계층 구조 내에서 사용할 수 있는 Google Cloud 리소스 서비스를 제어하도록 허용하는 거버넌스 정책인 리소스 사용량 제한(RUR)을 간략하게 설명합니다. RUR은 현재 Compute Engine 및 Cloud Storage와 같이 고객 리소스를 직접 관리하는 서비스에만 적용됩니다. RUR은 Identity and Access Management(IAM), Cloud Logging, Cloud Monitoring과 같은 Google Cloud 공유 인프라 서비스를 제외합니다.

RUR 정책은 리소스 서비스 사용량 제한이라는 조직 정책 제약조건으로 구현됩니다. 관리자는 이 제약조건을 사용하여 조직, 폴더 또는 프로젝트와 같은 리소스 컨테이너 내에서 허용된 Google Cloud 리소스 서비스에 대한 계층적 제한사항을 정의할 수 있습니다. 예를 들어 프로젝트 X 내에서 storage.googleapis.com을 허용하거나 폴더 Y 내에서 compute.googleapis.com을 거부합니다.

리소스 서비스 사용량 제한 제약조건은 두 가지 상호 배타적인 방식으로 사용될 수 있습니다.

  • 차단 목록 - 거부되지 않은 모든 서비스의 리소스가 허용됩니다.

  • 허용 목록 - 허용되지 않는 모든 서비스의 리소스가 거부됩니다.

이 제약조건을 지원하는 서비스의 목록은 리소스 사용량 지원 서비스 제한을 참조하세요.

리소스 서비스 사용량 제한 제약조건은 범위 내 모든 리소스에 대한 런타임 액세스를 제어합니다. RUR 정책이 업데이트되면 즉시 정책 범위 내 모든 리소스에 대한 모든 액세스에 적용됩니다. 관리자는 RUR 정책 업데이트를 신중하게 관리하는 것이 좋습니다. 태그를 사용하여 제약조건을 조건부로 시행하면 이 정책 변경사항을 더욱 안전하게 출시할 수 있습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.

리소스 서비스 사용량 제한 제약조건 사용

RUR 정책은 조직, 폴더, 프로젝트 수준에서 설정할 수 있는 조직 정책 제약조건입니다. 각 정책은 해당 리소스 계층 구조 내 모든 리소스에 적용되지만 리소스 계층 구조의 하위 수준에서 재정의될 수 있습니다.

정책 평가에 대한 자세한 내용은 계층 구조 평가 이해를 참조하세요.

조직 정책 설정

조직 정책을 설정, 변경 또는 삭제하려면 조직 정책 관리자 역할이 있어야 합니다.

콘솔

리소스 서비스 사용량 제한 제약조건을 포함하는 조직 정책을 설정하려면 다음을 수행합니다.

  1. Google Cloud Console의 조직 정책 페이지로 이동합니다.

조직 정책으로 이동

  1. 화면 상단의 프로젝트 선택기에서 정책을 설정할 리소스를 선택합니다.

  2. 조직 정책 표에서 리소스 서비스 사용량 제한을 선택합니다.

  3. 수정을 클릭합니다.

  4. 적용 대상에서 맞춤설정을 선택합니다.

  5. 정책 시행에서 이 정책에 상속을 적용하는 방법을 선택합니다.

    1. 상위 리소스의 조직 정책을 상속하고 이 리소스와 병합하려면 상위 요소와 병합을 선택합니다.

    2. 기존 조직 정책을 재정의하려면 바꾸기를 선택합니다.

  6. 정책 값에서 커스텀을 선택합니다.

  7. 정책 유형에서 차단 목록에 거부 또는 허용 목록에 허용을 선택합니다.

  8. 커스텀 값에서 차단하거나 허용할 서비스를 목록에 추가합니다.

    1. 예를 들어 Filestore를 차단하려면 file.googleapis.com을 입력합니다.

    2. 서비스를 추가하려면 새 정책 값을 클릭합니다.

    거부된 목록에 서비스 값 입력

  9. 페이지 오른쪽에서 정책 요약을 검토합니다.

  10. 정책을 시행하려면 저장을 클릭합니다.

gcloud

조직 정책은 Google Cloud CLI를 통해 설정할 수 있습니다. 리소스 서비스 사용량 제한 제약조건이 포함된 조직 정책을 시행하려면 먼저 업데이트할 정책이 포함된 YAML 파일을 만듭니다.

$ cat /tmp/policy.yaml
constraint: constraints/gcp.restrictServiceUsage
  list_policy:
  denied_values:
    - file.googleapis.com
    - bigquery.googleapis.com
    - storage.googleapis.com

리소스에 이 정책을 설정하려면 다음 명령어를 실행합니다.

gcloud beta resource-manager org-policies set-policy \
    --project='PROJECT_ID' /tmp/policy.yaml

각 항목의 의미는 다음과 같습니다.

  • PROJECT_ID는 이 조직 정책을 시행할 리소스의 프로젝트 ID입니다.

조직 정책의 제약조건을 사용하는 방법은 제약조건 사용을 참조하세요.

오류 메시지

리소스 계층 구조 B 내에서 서비스 A를 거부하는 조직 정책을 설정하는 경우 클라이언트에서 리소스 계층 구조 B 내에서 서비스 A를 사용하려고 하면 작업이 실패합니다. 이 실패 이유를 설명하는 오류가 반환됩니다. 또한 추가 모니터링, 알림 또는 디버깅을 위해 감사 로그 항목이 생성됩니다.

오류 메시지 예

Request is disallowed by organization's constraints/gcp.restrictServiceUsage
constraint for projects/policy-violation-test attempting to use service
file.googleapis.com.

Cloud 감사 로그 예시

예시 감사 로그 항목의 스크린샷