제약조건 사용

이 가이드에서는 특정 제약조건으로 조직 정책을 만드는 방법을 설명합니다. 이 페이지의 예시에서 사용된 제약조건은 실제 제약조건이 아니라 교육 목적을 위한 일반적인 샘플입니다.

제약조건과 제약조건을 통해 해결하는 문제에 대한 자세한 내용은 모든 조직 정책 서비스 제약조건 목록을 검토하세요.

시작하기 전에

조직 정책 관리자 추가

사용자를 조직 정책 관리자로 추가하려면 조직 관리자 역할이 있어야 합니다. 이 역할은 조직 수준에서만 부여됩니다. 조직 정책을 설정하거나 변경하려면 조직 정책 관리자 역할이 있어야 합니다.

Console

조직 정책 관리자를 추가하는 방법은 다음과 같습니다.

  1. Google Workspace 또는 Cloud Identity 최고 관리자로 Google Cloud Console에 로그인하고 IAM 및 관리자 페이지로 이동합니다.

    IAM 및 관리자 페이지 열기

  2. 수정할 조직을 선택합니다.

    1. 페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다.

    2. 선택 대화상자에서 조직 드롭다운 목록을 클릭하고 조직 정책 관리자를 추가할 조직을 선택합니다.

    3. 나타나는 목록에서 조직을 클릭하여 IAM 권한 페이지를 엽니다.

  3. 추가를 클릭한 다음 조직 정책 관리자로 설정할 한 명 이상의 사용자의 이메일 주소를 입력합니다.

  4. 역할 선택 드롭다운 목록에서 조직 정책 > 조직 정책 관리자를 선택합니다.

  5. 저장을 클릭합니다. 주 구성원의 새로운 역할 추가 또는 업데이트를 확인하는 대화상자가 나타납니다.

gcloud

gcloud 명령어와 함께 JSON 또는 YAML 파일을 사용할 수 있습니다. 이 예시에서는 JSON을 사용합니다.

조직 정책 관리자를 조직에 추가하는 방법은 다음과 같습니다.

  1. 수정할 IAM 정책을 가져와서 JSON 파일에 작성합니다.
      gcloud organizations get-iam-policy ORGANIZATION_ID \
         --format json > JSON_FILE
      
  2. JSON 파일의 내용은 다음과 유사합니다. 버전 필드는 읽기 전용이므로 제공할 필요가 없습니다.
  3.    {
           "bindings": [
           {
               "members": [
                 "user:email1@gmail.com"
               ],
               "role": "roles/owner"
           },
           {
               "members": [
                 "serviceAccount:our-project-123@appspot.gserviceaccount.com",
                 "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
               ],
               "role": "roles/editor"
           }
           ],
           "etag": "BwUjMhCsNvY=",
           "version": 1
       }
       
    여기서 JSON_FILE은 IAM 정책이 포함된 JSON 파일의 경로입니다. 예를 들면 `iam.json`입니다.
  4. 텍스트 편집기를 사용해 그룹 구성원과 해당 구성원의 역할을 정의하는 bindings 배열에 새로운 객체를 추가합니다. 예를 들어 사용자 email2@gmail.comroles/orgpolicy.policyAdmin 역할을 부여하려면 위의 예시를 다음과 같이 변경해야 합니다.
  5.    {
         "bindings": [
         {
           "members": [
             "user:email1@gmail.com"
           ],
         "role": "roles/owner"
         },
         {
           "members": [
             "serviceAccount:our-project-123@appspot.gserviceaccount.com",
             "serviceAccount:123456789012-compute@developer.gserviceaccount.com"
           ],
           "role": "roles/editor"
         },
         {
           "members": [
             "user:email2@gmail.com"
           ],
           "role": "roles/orgpolicy.policyAdmin"
         }
         ],
         "etag": "BwUjMhCsNvY="
       }
       
  6. 다음 명령어를 실행하여 조직 정책을 업데이트합니다.
  7.    gcloud organizations set-iam-policy ORGANIZATION_ID iam.json
       
  8. 명령어를 실행하면 업데이트된 정책이 다음과 같이 출력됩니다.
       bindings:
         - members:
           - user:email1@gmail.com
             role: roles/owner
         - members:
           - serviceAccount:our-project-123@appspot.gserviceaccount.com
           - serviceAccount:123456789012-compute@developer.gserviceaccount.com
             role: roles/editor
         - members:
           - user:email2@gmail.com
             role: roles/orgpolicy.policyAdmin
         etag: BwUjMhXbSPU=
         version: 1
       

조직 정책에 목록 제약 조건 사용

조직 리소스에 시행하도록 설정

목록 제약조건을 사용하여 특정 서비스에 대한 액세스를 거부하는 조직 리소스에 조직 정책을 설정할 수 있습니다. 다음 과정에서는 gcloud 명령줄 도구를 사용하여 조직 정책을 설정하는 방법을 설명합니다. Cloud Console을 사용하여 조직 정책을 보고 설정하는 방법은 정책 만들기 및 관리를 참조하세요.

v2 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다. 이 명령어는 이 리소스에 직접 적용되는 정책을 반환합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --organization=ORGANIZATION_ID
    

    각 항목의 의미는 다음과 같습니다.

    • ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 조직 ID는 십진수 형식이며 앞에 0이 올 수 없습니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    현재 조직 정책이 있는 경우 해당 정책이 응답에 반환됩니다. 예를 들면 다음과 같습니다.

    name: projects/841166443394/policies/gcp.resourceLocations
    spec:
      etag: BwW5P5cEOGs=
      inheritFromParent: true
      rules:
      - condition:
          expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
        values:
          allowedValues:
          - in:us-east1-locations
      - condition:
          expression: resource.matchTag("123/env", "prod")
        values:
          allowedValues:
          - in:us-west1-locations
      - values:
          deniedValues:
          - in:asia-south1-locations
      updateTime: '2021-01-19T12:00:51.095Z'
    

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. set-policy 명령어를 사용하여 조직에 정책을 설정합니다. 그러면 현재 리소스에 연결된 모든 정책을 덮어쓰게 됩니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
       spec:
           rules:
             - values:
               deniedValues:
                 - VALUE_A
       

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다. 그러면 상속이 포함된 리소스 계층 구조에서 이 시점에 평가된 것에 해당하는 조직 정책이 반환됩니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - values:
            deniedValues:
            - VALUE_A
    

    이 조직 정책은 조직 수준에서 설정되었으므로 상속을 허용하는 모든 하위 리소스에 상속됩니다.

v1 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    각 항목의 의미는 다음과 같습니다.

    • ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 조직 ID는 십진수 형식이며 앞에 0이 올 수 없습니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    정책이 설정되지 않았으므로 다음 예시와 같이 불완전한 정책이 반환됩니다.

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. deny 명령어를 사용하여 액세스를 제한하려는 서비스에 대해 거부된 값을 추가합니다.

    gcloud resource-manager org-policies deny \
      LIST_CONSTRAINT VALUE_A \
      --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    etag: BwVJi0OOESU=
    listPolicy:
      deniedValues:
        - VALUE_A
    updateTime: CURRENT_TIME
    
  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - VALUE_A
    

    이 조직 정책은 조직 수준에서 설정되었으므로 상속을 허용하는 모든 하위 리소스에 상속됩니다.

계층 구조 하위 트리에 시행하도록 설정

목록 제약조건은 명시적으로 정의된 값을 사용하여 허용하거나 거부해야 하는 리소스를 결정합니다. 해당 리소스가 있는 하위 트리를 루트로 지정하는 under: 프리픽스를 사용하는 값을 허용하는 제약조건도 있습니다. 허용된 값 또는 거부된 값에 under: 프리픽스를 사용하면 조직 정책이 해당 리소스 및 모든 하위 항목에 적용됩니다. under: 프리픽스 사용을 허용하는 제약조건에 대한 자세한 내용은 조직 정책 제약조건 페이지를 참조하세요.

under: 프리픽스를 사용하는 값을 계층 구조 하위 트리 문자열이라고 합니다. 계층 구조 하위 트리 문자열은 적용할 리소스 유형을 지정합니다. 예를 들어 constraints/compute.storageResourceUseRestrictions 제약조건을 설정할 때 projects/PROJECT_ID의 하위 트리 문자열을 사용하면 PROJECT_ID 및 모든 하위 항목에 Compute Engine 스토리지의 사용이 허용되거나 거부됩니다.

계층 구조 하위 트리 값 프리픽스는 베타 기능으로, 이전 버전과 호환되지 않는 방식으로 변경될 수 있으며 SLA 또는 지원 중단 정책이 적용되지 않습니다.

v2 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --organization=ORGANIZATION_ID
    

    각 항목의 의미는 다음과 같습니다.

    • ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다. under: 프리픽스는 이름이 지정된 리소스와 모든 하위 리소스를 거부하도록 제약조건을 설정합니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
       spec:
           rules:
             - values:
                 deniedValues:
                   - under:folders/VALUE_A
       

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml
       

    각 항목의 의미는 다음과 같습니다.

    • under:는 하위 트리 문자열이 뒤에 온다는 것을 나타내는 프리픽스입니다.

    • folders/VALUE_A는 거부하려는 루트 리소스의 폴더 ID입니다. 이 리소스와 리소스 계층 구조의 모든 하위 항목이 거부됩니다.

    다음 예시에서와 같이 under: 프리픽스를 조직 및 프로젝트에 적용할 수도 있습니다.

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - values:
            deniedValues:
            - under:folders/VALUE_A
    

    이제 정책은 VALUE_A 폴더와 모든 하위 리소스를 거부하도록 평가됩니다.

v1 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    각 항목의 의미는 다음과 같습니다.

    • ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    정책이 설정되지 않았으므로 다음 예시와 같이 불완전한 정책이 반환됩니다.

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. deny 명령어를 사용하여 액세스를 제한하려는 서비스에 대해 거부된 값을 추가합니다. under: 프리픽스는 이름이 지정된 리소스와 모든 하위 리소스를 거부하도록 제약조건을 설정합니다.

    gcloud resource-manager org-policies deny \
      LIST_CONSTRAINT under:folders/VALUE_A \
      --organization ORGANIZATION_ID
    

    각 항목의 의미는 다음과 같습니다.

    • under:는 하위 트리 문자열이 뒤에 온다는 것을 나타내는 프리픽스입니다.

    • folders/VALUE_A는 거부하려는 루트 리소스의 폴더 ID입니다. 이 리소스와 리소스 계층 구조의 모든 하위 항목이 거부됩니다.

    • VALUE_BVALUE_C는 계층 구조에서 상위 항목이 VALUE_A인 프로젝트입니다.

    deny 명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    etag: BwVJi0OOESU=
    listPolicy:
      deniedValues:
        - under:folders/VALUE_A
    updateTime: CURRENT_TIME
    

    다음 예시에서와 같이 under: 프리픽스를 조직 및 프로젝트에 적용할 수도 있습니다.

    • under:organizations/VALUE_X

    • under:projects/VALUE_Y

  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - under:folders/VALUE_A
    

    이제 정책은 VALUE_A 폴더와 하위 리소스(이 경우 VALUE_BVALUE_C)를 거부하도록 평가됩니다.

프로젝트에 조직 정책 병합

리소스에 커스텀 조직 정책을 설정할 수 있습니다. 이 정책은 상위 리소스에서 상속된 정책과 병합됩니다. 이 병합된 정책은 상속 규칙을 기반으로 새로운 유효 정책을 만들도록 평가됩니다.

v2 API

  1. describe 명령어를 사용하여 리소스의 현재 정책을 가져옵니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --project=PROJECT_ID
    

    각 항목의 의미는 다음과 같습니다.

    • PROJECT_ID는 프로젝트의 고유 식별자입니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. describe --effective 명령어를 사용하여 현재의 유효 정책을 표시합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
       --project=PROJECT_ID
    

    이 명령어의 출력에는 조직 리소스에서 상속되는 거부된 값이 포함됩니다.

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - values:
            deniedValues:
              - VALUE_A
    
  3. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
       spec:
           inheritFromParent: true
           rules:
             - values:
                 deniedValues:
                   - VALUE_B
                   - VALUE_C
       

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml
       

  4. describe --effective 명령어를 다시 실행하여 업데이트된 정책을 표시합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    이 명령어의 출력에는 리소스의 정책과 상위 항목의 정책을 병합한 유효 정책이 포함됩니다.

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - values:
            deniedValues:
              - VALUE_A
              - VALUE_B
              - VALUE_C
    

v1 API

  1. describe 명령어를 사용하여 리소스의 현재 정책을 가져옵니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --project PROJECT_ID
    

    각 항목의 의미는 다음과 같습니다.

    • PROJECT_ID는 프로젝트의 고유 식별자입니다.

    • LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.

    정책이 설정되지 않았으므로 다음 예시와 같이 불완전한 정책이 반환됩니다.

    constraint: "constraints/LIST_CONSTRAINT"
    etag: BwVJi0OOESU=
    
  2. describe --effective 명령어를 사용하여 현재의 유효 정책을 표시합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
       --project PROJECT_ID
    

    이 명령어의 출력에는 조직 리소스에서 상속되는 거부된 값이 포함됩니다.

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      deniedValues:
        - VALUE_A
    
  3. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       constraint: constraints/LIST_CONSTRAINT
       listPolicy:
         deniedValues:
           - VALUE_B
           - VALUE_C
         inheritFromParent: true
       

    2. set-policy 명령어를 실행합니다.

       gcloud resource-manager org-policies set-policy 
      --project PROJECT_ID /tmp/policy.yaml

    3. 명령어를 실행하면 다음과 같이 출력됩니다.

       constraint: constraints/LIST_CONSTRAINT
       etag: BwVLO2timxY=
       listPolicy:
         deniedValues:
           - VALUE_B
           - VALUE_C
         inheritFromParent: true
       

  4. describe --effective 명령어를 다시 실행하여 업데이트된 정책을 표시합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    이 명령어의 출력에는 리소스의 정책과 상위 항목의 정책을 병합한 유효 정책이 포함됩니다.

    constraint: constraints/LIST_CONSTRAINT
      listPolicy:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C
    

기본 제약조건 동작 복원

reset 명령어를 사용하여 정책의 기본 동작을 사용하도록 정책을 초기화할 수 있습니다. 사용 가능한 모든 제약조건 및 기본값의 목록은 조직 정책 제약조건을 참조하세요. 다음 예시에서는 기본 제약조건 동작이 모든 값을 허용한다고 가정합니다.

v2 API

  1. 프로젝트의 유효 정책을 가져와서 현재 병합된 정책을 표시합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - values:
            deniedValues:
              - VALUE_A
              - VALUE_B
              - VALUE_C
    
  2. reset 명령어를 사용하여 조직 정책을 재설정합니다.

    gcloud org-policies reset LIST_CONSTRAINT \
        --project=PROJECT_ID
    
  3. 유효 정책을 가져와서 기본 동작을 확인합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    이 명령어의 출력에는 모든 값이 허용됩니다.

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - allowAll: true
    

v1 API

  1. 프로젝트의 유효 정책을 가져와서 현재 병합된 정책을 표시합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
      listPolicy:
        deniedValues:
          - VALUE_A
          - VALUE_B
          - VALUE_C
    
  2. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

    1. 정책을 저장할 /tmp/restore-policy.yaml 임시 파일을 만듭니다.

       restoreDefault: {}
       constraint: constraints/LIST_CONSTRAINT
       

    2. set-policy 명령어를 실행합니다.

       gcloud resource-manager org-policies set-policy 
      --project PROJECT_ID /tmp/restore-policy.yaml

    3. 명령어를 실행하면 다음과 같이 출력됩니다.

       constraint: constraints/LIST_CONSTRAINT
       etag: BwVJi9D3VLY=
       restoreDefault: {}
       

  3. 유효 정책을 가져와서 기본 동작을 확인합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --project PROJECT_ID
    

    이 명령어의 출력에는 모든 값이 허용됩니다.

    Constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

조직 정책 삭제

리소스에서 조직 정책을 삭제할 수 있습니다. 조직 정책이 설정되지 않은 리소스는 상위 리소스의 모든 정책을 상속합니다. 조직 리소스의 조직 정책을 삭제하면 유효 정책이 제약조건의 기본 동작이 됩니다.

다음 단계에서는 조직의 조직 정책을 삭제하는 방법을 설명합니다.

v2 API

  1. delete 명령어를 사용하여 조직 리소스의 정책을 삭제합니다.

    gcloud org-policies delete \
      LIST_CONSTRAINT --organization=ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
    {}
    
  2. 조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - allowAll: true
    

다음 단계에서는 프로젝트의 조직 정책을 삭제하는 방법을 설명합니다.

  1. delete 명령어를 사용하여 프로젝트의 정책을 삭제합니다.

    gcloud org-policies delete \
      LIST_CONSTRAINT --project=PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted policy
    [projects/PROJECT_ID/policies/LIST_CONSTRAINT].
    {}
    
  2. 프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud org-policies describe \
      --effective \
      LIST_CONSTRAINT --project=PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
    spec:
      rules:
        - allowAll: true
    

v1 API

  1. delete 명령어를 사용하여 조직 리소스의 정책을 삭제합니다.

    gcloud resource-manager org-policies delete \
      LIST_CONSTRAINT --organization ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted [<Empty>].
    
  2. 조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      LIST_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

다음 단계에서는 프로젝트의 조직 정책을 삭제하는 방법을 설명합니다.

  1. delete 명령어를 사용하여 프로젝트의 정책을 삭제합니다.

    gcloud resource-manager org-policies delete \
      LIST_CONSTRAINT --project PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted [<Empty>].
    
  2. 프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      --effective \
      LIST_CONSTRAINT --project PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    constraint: constraints/LIST_CONSTRAINT
    listPolicy:
      allValues: ALLOW
    

조직 정책에서 부울 제약조건 사용

조직 리소스에 시행하도록 설정

조직 리소스에 조직 정책을 설정하여 부울 제약조건을 시행할 수 있습니다. 다음 과정에서는 gcloud 명령줄 도구를 사용하여 조직 정책을 설정하는 방법을 설명합니다. Cloud Console을 사용하여 조직 정책을 보고 설정하는 방법은 정책 만들기 및 관리를 참조하세요.

v2 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
       spec:
         rules:
           - enforce: true
       

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --organization=ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
        - enforce: true
    

v1 API

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.

    gcloud resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

    정책이 설정되지 않았으므로 다음 예시와 같이 불완전한 정책이 반환됩니다.

    booleanPolicy: {}
    constraint: "constraints/BOOLEAN_CONSTRAINT"
    
  2. enable-enforce 명령어를 사용하여 조직에 적용할 정책을 설정합니다.

    gcloud resource-manager org-policies enable-enforce \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    etag: BwVJitxdiwY=
    
  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    

프로젝트의 조직 정책 재정의

프로젝트의 조직 정책을 재정의하려면 프로젝트 아래 있는 계층 구조의 모든 리소스에 대해 부울 제약조건을 시행하지 못하게 하는 정책을 설정합니다.

v2 API

  1. 리소스의 현재 정책을 가져옵니다.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --project=PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. 프로젝트의 유효 정책을 가져와서 제약조건이 이 프로젝트에 적용되고 있는지 확인합니다.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
        - enforce: true
    
  3. set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
       spec:
         rules:
           - enforce: false
       

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml
       

  4. 유효 정책을 가져와서 프로젝트에 더 이상 적용되지 않음을 확인합니다.

    gcloud org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --project=PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
    spec:
      rules:
        - enforce: false
    

v1 API

  1. 리소스의 현재 정책을 가져옵니다.

    gcloud resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy: {}
    constraint: "constraints/BOOLEAN_CONSTRAINT"
    
  2. 프로젝트의 유효 정책을 가져와서 제약조건이 이 프로젝트에 적용되고 있는지 확인합니다.

    gcloud resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy:
      enforced: true
    constraint: constraints/BOOLEAN_CONSTRAINT
    
  3. disable-enforce 명령어를 사용하여 제약조건을 적용하지 않도록 프로젝트의 정책을 설정합니다.

    gcloud resource-manager org-policies disable-enforce \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    etag: BwVJivdnXvM=
    
  4. 유효 정책을 가져와서 프로젝트에 더 이상 적용되지 않음을 확인합니다.

    gcloud resource-manager org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    

조직 정책 삭제

리소스에서 조직 정책을 삭제할 수 있습니다. 조직 정책이 설정되지 않은 리소스는 상위 리소스의 모든 정책을 상속합니다. 조직 리소스의 조직 정책을 삭제하면 유효 정책이 제약조건의 기본 동작이 됩니다.

다음 단계에서는 조직 및 프로젝트의 조직 정책을 삭제하는 방법을 설명합니다.

v2 API

  1. delete 명령어를 사용하여 조직 리소스에서 정책을 삭제합니다.

    gcloud org-policies delete \
      BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
    {}
    
  2. 조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --organization=ORGANIZATION_ID
    

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  3. delete 명령어를 사용하여 프로젝트에서 조직 정책을 삭제합니다.

    gcloud org-policies delete \
      BOOLEAN_CONSTRAINT --project=PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted policy
    [organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
    {}
    
  4. 프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project=PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    

v1 API

  1. delete 명령어를 사용하여 조직 리소스에서 정책을 삭제합니다.

    gcloud resource-manager org-policies delete \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    여기에서 ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted [<Empty>].
    
  2. 조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      --effective \
      BOOLEAN_CONSTRAINT --organization ORGANIZATION_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT
    
  3. delete 명령어를 사용하여 프로젝트에서 조직 정책을 삭제합니다.

    gcloud resource-manager org-policies delete \
      BOOLEAN_CONSTRAINT --project PROJECT_ID
    

    명령어를 실행하면 다음과 같이 출력됩니다.

    Deleted [<Empty>].
    
  4. 프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

    gcloud resource-manager org-policies describe \
      BOOLEAN_CONSTRAINT --effective \
      --project PROJECT_ID
    

    여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.

    booleanPolicy: {}
    constraint: constraints/BOOLEAN_CONSTRAINT