조직 정책 서비스 소개

조직 정책 서비스는 조직의 클라우드 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있는 기능을 제공합니다. 조직 정책 관리자는 전체 리소스 계층 구조에 걸쳐 제약조건을 구성할 수 있습니다.

이점

• 조직 리소스 사용 방법에 대한 제한사항 구성을 중앙에서 제어합니다.
• 개발팀이 규정을 준수할 수 있도록 가드레일을 정의하고 설정합니다.
• 프로젝트 소유자와 해당 팀에서 규정을 위반하지 않고 신속하게 이동할 수 있도록 지원합니다.

일반 사용 사례

조직 정책을 사용하면 다음을 수행할 수 있습니다.

• 도메인을 기반으로 리소스 공유를 제한합니다.
• Identity and Access Management(IAM) 서비스 계정 사용을 제한합니다.
• 새로 만든 리소스의 물리적 위치를 제한합니다.

조직의 리소스를 세분화하여 제어할 수 있는 여러 가지 제약조건이 있습니다. 자세한 내용은 모든 조직 정책 서비스 제약조건 목록을 참조하세요.

Identity and Access Management와의 차이점

Identity and Access Management는 누구에 중점을 두며 이를 통해 관리자는 권한을 기반으로 특정 리소스에 조치를 취할 수 있는 사용자를 승인할 수 있습니다.

조직 정책은 무엇에 중점을 두며 이를 통해 관리자는 구성 방법을 결정하기 위해 특정 리소스에 대한 제한사항을 설정할 수 있습니다.

조직 정책 작동 방식

조직 정책은 Google Cloud 서비스 하나 이상을 제한하는 단일 제약조건을 구성합니다. 조직 정책은 조직, 폴더 또는 프로젝트 리소스에 설정되어 해당 리소스와 하위 리소스에 제약조건을 적용합니다.

조직 정책에는 제약조건 적용 방법과 적용 여부를 지정하는 하나 이상의 규칙이 포함되어 있습니다. 예를 들어 조직 정책에는 environment=development 태그가 지정된 리소스에만 제약조건을 적용하는 하나의 규칙과 다른 리소스에 대해 제약조건이 적용되지 않도록 방지하는 또 다른 규칙이 포함될 수 있습니다.

조직 정책이 연결된 리소스의 하위 요소는 조직 정책을 상속합니다. 조직 정책 관리자는 조직 리소스에 조직 정책을 적용하여 조직 전반에서 해당 조직 정책의 시행과 제한사항 구성을 제어할 수 있습니다.

제약조건

제약조건은 Google Cloud 서비스 또는 Google Cloud 서비스 목록에 대한 특정 유형의 제한사항입니다. 제약조건은 제어할 동작을 정의하는 청사진과 같습니다. 예를 들어 compute.storageResourceUseRestrictions 제약조건을 사용하여 프로젝트 리소스가 Compute Engine 스토리지 리소스에 액세스하지 못하도록 제한할 수 있습니다.

이 청사진은 제약조건에서 정의된 규칙을 구현하는 조직 정책으로 리소스 계층 구조의 리소스에 적용됩니다. 그런 다음 해당 제약조건에 매핑되고 해당 리소스 계층 구조 노드와 연결된 Google Cloud 서비스는 조직 정책 내에서 구성된 제한사항을 적용합니다.

조직 정책은 적용하는 제약조건과 선택적으로 제약조건이 적용되는 조건에 따라 YAML 또는 JSON 파일에 정의됩니다. 각 조직 정책은 활성 모드, 테스트 실행 모드 또는 둘 다에서 정확히 제약조건 하나를 적용합니다.

제약조건에는 적용 여부를 확인하는 데 사용할 수 있는 값을 결정하는 적용 유형의 목록이나 불리언이 있습니다. 시행 중인 Google Cloud 서비스는 제약조건 유형과 값을 평가하여 제한사항을 결정합니다.

목록 제약조건

목록 제약조건은 조직 정책에 정의된 값의 목록을 허용하거나 허용하지 않습니다. 이 값 목록은 계층 구조 하위 트리 문자열로 표현됩니다. 하위 트리 문자열은 제약조건이 적용되는 리소스 유형을 지정합니다. 예를 들어 목록 제약조건 constraints/compute.trustedImageProjects는 projects/PROJECT_ID 형식의 프로젝트 ID 목록을 사용합니다.

값을 지원하는 제약조건의 경우 값에 prefix:value 형식의 프리픽스를 지정하여 값에 추가 의미를 부여할 수 있습니다.

• is: - 정확한 값과의 비교를 적용합니다. 프리픽스가 없는 것과 같은 동작이며 값에 콜론이 포함되는 경우에 필수 항목입니다.

• under: - 값과 모든 하위 값과의 비교를 적용합니다. 이 프리픽스로 리소스가 허용되거나 거부되는 경우 하위 리소스도 허용되거나 거부됩니다. 제공된 값은 조직, 폴더 또는 프로젝트 리소스의 ID여야 합니다.

• in: - 이 값이 포함된 모든 리소스와의 비교를 적용합니다. 예를 들어 in:us-locations를 constraints/gcp.resourceLocations 제약조건의 차단 목록에 추가하여 us 리전에 포함된 모든 위치를 차단할 수 있습니다.

값 목록이 제공되지 않거나 조직 정책이 Google 관리 기본값으로 설정된 경우 제약조건의 기본 동작이 적용되며 이 동작은 모든 값을 허용하거나 거부합니다.

다음 조직 정책은 organizations/1234567890123의 Compute Engine VM 인스턴스 vm-1 및 vm-2가 외부 IP 주소에 액세스하도록 허용하는 제약조건을 적용합니다.

name: organizations/1234567890123/policies/compute.vmExternalIpAccess
spec:
  rules:
  - values:
      allowedValues:
      - is:projects/project_a/zones/us-central1-a/instances/vm-1
      - is:projects/project_b/zones/us-central1-a/instances/vm-2

불리언 제약조건

불리언 제약조건은 적용되거나 적용되지 않습니다. 예를 들어 사전 정의된 제약조건 constraints/compute.disableSerialPortAccess에는 다음과 같은 두 가지 상태가 있습니다.

• 적용됨 - 제약조건이 적용되고 직렬 포트 액세스는 허용되지 않습니다.
• 적용되지 않음 - disableSerialPortAccess 제약조건이 적용되거나 선택되지 않으므로 직렬 포트 액세스가 허용됩니다.

조직 정책이 Google 관리 기본값으로 설정되면 제약조건의 기본 동작이 적용됩니다.

다음 조직 정책은 organizations/1234567890123에서 외부 서비스 계정 만들기를 사용 중지하는 제약조건을 적용합니다.

name: organizations/1234567890123/policies/iam.disableServiceAccountCreation
spec:
  rules:
  - enforce: true

커스텀 조직 정책

커스텀 조직 정책은 사전 정의된 조직 정책과 동일한 방식으로 리소스 만들기 및 업데이트를 허용하거나 제한할 수 있지만 관리자가 요청 매개변수 및 기타 메타데이터를 기준으로 조건을 구성할 수 있습니다.

Dataproc NodePool 리소스와 같은 특정 서비스 리소스의 작업을 제한하는 제약조건으로 커스텀 조직 정책을 만들 수 있습니다. 커스텀 제약조건을 지원하는 서비스 리소스 목록은 커스텀 제약조건 지원 서비스를 참조하세요.

커스텀 조직 정책 사용 방법에 대한 자세한 내용은 커스텀 조직 정책 만들기 및 관리를 참조하세요.

테스트 실행 모드의 조직 정책

테스트 실행 모드의 조직 정책은 다른 조직 정책과 유사하게 생성 및 적용되며 정책 위반은 감사 로깅되지만 위반 작업은 거부되지는 않습니다.

테스트 실행 모드에서 조직 정책을 사용하여 정책 변경사항이 적용되기 전에 워크플로에 미치는 영향을 모니터링할 수 있습니다. 자세한 내용은 테스트 실행 모드의 조직 정책 만들기를 참조하세요.

조건부 조직 정책

태그를 사용하면 리소스에 특정 태그가 있는지 여부에 따라 제약 조건을 조건부로 적용할 수 있습니다. 태그 및 조직 정책의 제약조건 적용을 사용하면 계층 구조 리소스에 대한 중앙 집중식 제어가 가능합니다.

태그에 대한 자세한 내용은 태그 개요를 참조하세요. 태그를 사용하여 조건부 조직 정책을 설정하는 방법은 태그를 사용한 조직 정책 설정을 참조하세요.

상속

조직 정책이 리소스에 설정되면 해당 리소스의 모든 하위 항목은 기본적으로 조직 정책을 상속합니다. 조직 리소스에 조직 정책을 설정하면 해당 정책에 의해 정의된 제한사항 구성이 모든 하위 폴더, 프로젝트, 서비스 리소스를 통해 전달됩니다.

상속을 덮어쓰거나 상위 리소스의 조직 정책을 상속하는 하위 요소 리소스에 조직 정책을 설정할 수 있습니다. 후자의 경우 두 조직 정책이 계층 구조 평가 규칙에 따라 병합됩니다. 이렇게 하면 조직 전반에서 조직 정책이 적용되는 방식과 예외를 적용할 위치를 정밀하게 제어할 수 있습니다.

계층 구조 평가에 대한 자세한 내용은 계층 구조 이해 페이지를 참조하세요.

위반

위반은 Google Cloud 서비스가 리소스 계층 구조의 범위 내에서 조직 정책 제한사항 구성에 반하여 작동하거나 반하는 상태를 말합니다. Google Cloud 서비스는 위반을 방지하기 위해 제약조건을 시행하지만 새로운 조직 정책은 일반적으로 소급 적용되지 않습니다. 조직 정책 제약조건이 소급 적용되는 경우 조직 정책 제약조건 페이지에서 소급 적용 라벨이 지정됩니다.

새로운 조직 정책에서 이미 있는 서비스의 동작이나 상태에 대한 제한사항을 설정하면 정책은 위반으로 간주되지만 서비스는 원래 동작을 중지하지 않습니다. 이 위반은 수동으로 해결해야 합니다. 이렇게 하면 새로운 조직 정책으로 인해 비즈니스 연속성이 완전히 중단될 위험이 없습니다.

Policy Intelligence

Policy Intelligence는 보안 정책을 관리하는 데 도움이 되도록 설계된 도구 모음입니다. 이러한 도구를 사용하면 리소스 사용량을 이해하고, 기존 보안 정책을 이해 및 개선하고, 잘못된 정책 구성을 방지할 수 있습니다.

일부 Policy Intelligence 도구는 특히 조직 정책 서비스 정책을 테스트하고 분석하는 데 도움이 되도록 설계되었습니다. 조직 정책에 대한 모든 변경사항을 테스트하고 테스트 실행하는 것이 좋습니다. 정책 인텔리전스를 사용하면 다음과 같은 태스크를 수행할 수 있습니다.

• 조직 정책과 제약조건의 변경사항을 테스트하고 제안된 정책을 준수하지 않는 리소스를 식별합니다(미리보기).
• 조직 정책과 제약조건 변경사항을 준수하지 않는 리소스를 식별합니다(미리보기).
• 테스트 실행 조직 정책을 만들어 정책 변경사항이 워크플로에 미치는 영향 모니터링
• 기존 조직 정책을 분석하여 어떤 조직 정책이 어떤 Google Cloud 리소스에 적용되는지 파악

이러한 도구와 기타 Policy Intelligence 도구에 대한 자세한 내용은 Policy Intelligence 개요를 참조하세요.

다음 단계

• 조직 만들기 및 관리 페이지에서 조직 리소스를 확보하는 방법 알아보기
• Google Cloud Console에서 조직 정책을 만들고 관리하는 방법 알아보기
• 제약조건을 사용하여 조직 정책을 정의하는 방법 알아보기
• 조직 정책 제약조건으로 달성할 수 있는 솔루션 살펴보기