사전 정의된 조직 정책 추가

이 페이지에서는 Cloud SQL 인스턴스에서 조직 정책을 추가하고, 프로젝트, 폴더, 조직 수준에서 Cloud SQL에 제한사항을 적용하는 방법을 설명합니다. 개요는 Cloud SQL 조직 정책을 참조하세요.

시작하기 전에

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the gcloud CLI.

  5. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  6. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the gcloud CLI.

  10. 외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

  11. gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다. 

    gcloud init
  12. IAM 및 관리자 페이지에서 사용자 또는 서비스 계정에 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)을 추가합니다.

    IAM 계정 페이지로 이동

  13. 이 절차를 수행하기 전에 제한사항을 참조하세요.

    14. 연결 조직 정책 추가

    개요는 연결 조직 정책을 참조하세요.

    연결 조직 정책을 추가하려면 다음 안내를 따르세요.

    1. 조직 정책 페이지로 이동합니다.

      조직 정책 페이지로 이동

    2. 상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.

    3. 제약조건 name 또는 display_name으로 필터링합니다.

      • 인터넷에서 들어오거나 나가는 액세스를 사용 중지하려면 다음 명령어를 실행하세요.

        name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

      • IAM 인증이 누락되었을 때 인터넷에서 들어오는 액세스 사용 중지하려면 다음 명령어를 실행하세요(비공개 IP를 사용한 액세스에는 영향을 주지 않음).

        name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

    4. 목록에서 정책 이름을 선택합니다.

    5. 수정을 클릭합니다.

    6. 맞춤설정을 클릭합니다.

    7. 규칙 추가를 클릭합니다.

    8. 시행에서 사용을 클릭합니다.

    9. 저장을 클릭합니다.

    CMEK 조직 정책 추가

    개요는 고객 관리 암호화 키 조직 정책을 참조하세요.

    CMEK 조직 정책을 추가하려면 다음 안내를 따르세요.

    1. 조직 정책 페이지로 이동합니다.

      조직 정책 페이지로 이동

    2. 상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.

    3. 제약조건 name 또는 display_name으로 필터링합니다.

      • 서비스에 대해 리소스에 CMEK가 사용되도록 보장하기 위해 DENY 목록에 서비스 이름을 입력하려면 다음 안내를 따르세요.

        name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

        Deny로 제한된 서비스 목록에 sqladmin.googleapis.com을 추가해야 합니다.

      • 프로젝트 내에서 Cloud KMS 인스턴스의 키만 CMEK에 사용되도록 ALLOW 목록에 프로젝트 ID를 입력하려면 다음 안내를 따르세요.

        name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

    4. 목록에서 정책 이름을 선택합니다.

    5. 수정을 클릭합니다.

    6. 맞춤설정을 클릭합니다.

    7. 규칙 추가를 클릭합니다.

    8. 정책 값에서 커스텀을 클릭합니다.

    9. constraints/gcp.restrictNonCmekServices의 경우: a. 정책 유형에서 거부를 선택합니다. b. 커스텀 값 아래에 sqladmin.googleapis.com을 입력합니다.

      constraints/gcp.restrictCmekCryptoKeyProjects의 경우: a. 정책 유형에서 허용을 선택합니다. b. 커스텀 값 아래에 under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, projects/PROJECT_ID 형식을 사용하여 리소스를 입력합니다.

    10. 완료를 클릭합니다.

    11. 저장을 클릭합니다.

    다음 단계