Cloud SQL 조직 정책 추가

이 페이지에서는 Cloud SQL 인스턴스에서 조직 정책을 추가하고, 프로젝트, 폴더, 조직 수준에서 Cloud SQL에 제한사항을 적용하는 방법을 설명합니다. 개요는 Cloud SQL 조직 정책을 참조하세요.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
  2. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  4. Google Cloud CLI를 설치합니다.
  5. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다.

    gcloud init
  6. Google Cloud Console의 프로젝트 선택기 페이지에서 Google Cloud 프로젝트를 선택하거나 만듭니다.

    프로젝트 선택기로 이동

  7. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  8. Google Cloud CLI를 설치합니다.
  9. gcloud CLI를 초기화하려면 다음 명령어를 실행합니다.

    gcloud init
  10. IAM 및 관리자 페이지에서 사용자 또는 서비스 계정에 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)을 추가합니다.

    IAM 계정 페이지로 이동

  11. 이 절차를 수행하기 전에 제한사항을 참조하세요.

연결 조직 정책 추가

개요는 연결 조직 정책을 참조하세요.

연결 조직 정책을 추가하려면 다음 안내를 따르세요.

  1. 조직 정책 페이지로 이동합니다.

    조직 정책 페이지로 이동

  2. 상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.

  3. 제약조건 name 또는 display_name으로 필터링합니다.

    • 인터넷에서 들어오거나 나가는 액세스를 사용 중지하려면 다음 명령어를 실행하세요.

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • IAM 인증이 누락되었을 때 인터넷에서 들어오는 액세스 사용 중지하려면 다음 명령어를 실행하세요(비공개 IP를 사용한 액세스에는 영향을 주지 않음).

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. 목록에서 정책 이름을 선택합니다.

  5. 수정을 클릭합니다.

  6. 맞춤설정을 클릭합니다.

  7. 규칙 추가를 클릭합니다.

  8. 시행에서 사용을 클릭합니다.

  9. 저장을 클릭합니다.

CMEK 조직 정책 추가

개요는 고객 관리 암호화 키 조직 정책을 참조하세요.

CMEK 조직 정책을 추가하려면 다음 안내를 따르세요.

  1. 조직 정책 페이지로 이동합니다.

    조직 정책 페이지로 이동

  2. 상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.

  3. 제약조건 name 또는 display_name으로 필터링합니다.

    • 서비스에 대해 리소스에 CMEK가 사용되도록 보장하기 위해 DENY 목록에 서비스 이름을 입력하려면 다음 안내를 따르세요.

      name: "constraints/gcp.restrictNonCmekServices"
      display_name: "Restrict which services may create resources without CMEK"
      

      Deny로 제한된 서비스 목록에 sqladmin.googleapis.com을 추가해야 합니다.

    • 프로젝트 내에서 Cloud KMS 인스턴스의 키만 CMEK에 사용되도록 ALLOW 목록에 프로젝트 ID를 입력하려면 다음 안내를 따르세요.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
      display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
      
  4. 목록에서 정책 이름을 선택합니다.

  5. 수정을 클릭합니다.

  6. 맞춤설정을 클릭합니다.

  7. 규칙 추가를 클릭합니다.

  8. 정책 값에서 커스텀을 클릭합니다.

  9. constraints/gcp.restrictNonCmekServices의 경우: a. 정책 유형에서 거부를 선택합니다. b. 커스텀 값 아래에 sqladmin.googleapis.com을 입력합니다.

    constraints/gcp.restrictCmekCryptoKeyProjects의 경우: a. 정책 유형에서 허용을 선택합니다. b. 커스텀 값 아래에 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, projects/PROJECT_ID 형식을 사용하여 리소스를 입력합니다.

  10. 완료를 클릭합니다.

  11. 저장을 클릭합니다.

다음 단계