이 페이지에서는 Cloud SQL 인스턴스에서 조직 정책을 추가하고, 프로젝트, 폴더, 조직 수준에서 Cloud SQL에 제한사항을 적용하는 방법을 설명합니다. 개요는 Cloud SQL 조직 정책을 참조하세요.
시작하기 전에
- Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- IAM 및 관리자 페이지에서 사용자 또는 서비스 계정에 조직 정책 관리자 역할(
roles/orgpolicy.policyAdmin
)을 추가합니다. - 이 절차를 수행하기 전에 제한사항을 참조하세요.
연결 조직 정책 추가
개요는 연결 조직 정책을 참조하세요.
연결 조직 정책을 추가하려면 다음 안내를 따르세요.
조직 정책 페이지로 이동합니다.
상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.
제약조건
name
또는display_name
으로 필터링합니다.인터넷에서 들어오거나 나가는 액세스를 사용 중지하려면 다음 명령어를 실행하세요.
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
IAM 인증이 누락되었을 때 인터넷에서 들어오는 액세스 사용 중지하려면 다음 명령어를 실행하세요(비공개 IP를 사용한 액세스에는 영향을 주지 않음).
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
목록에서 정책 이름을 선택합니다.
수정을 클릭합니다.
맞춤설정을 클릭합니다.
규칙 추가를 클릭합니다.
시행에서 사용을 클릭합니다.
저장을 클릭합니다.
CMEK 조직 정책 추가
개요는 고객 관리 암호화 키 조직 정책을 참조하세요.
CMEK 조직 정책을 추가하려면 다음 안내를 따르세요.
조직 정책 페이지로 이동합니다.
상단 탭에서 프로젝트 드롭다운 메뉴를 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.
제약조건
name
또는display_name
으로 필터링합니다.서비스에 대해 리소스에 CMEK가 사용되도록 보장하기 위해 DENY 목록에 서비스 이름을 입력하려면 다음 안내를 따르세요.
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Deny로 제한된 서비스 목록에
sqladmin.googleapis.com
을 추가해야 합니다.프로젝트 내에서 Cloud KMS 인스턴스의 키만 CMEK에 사용되도록 ALLOW 목록에 프로젝트 ID를 입력하려면 다음 안내를 따르세요.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
목록에서 정책 이름을 선택합니다.
수정을 클릭합니다.
맞춤설정을 클릭합니다.
규칙 추가를 클릭합니다.
정책 값에서 커스텀을 클릭합니다.
constraints/gcp.restrictNonCmekServices
의 경우: a. 정책 유형에서 거부를 선택합니다. b. 커스텀 값 아래에sqladmin.googleapis.com
을 입력합니다.constraints/gcp.restrictCmekCryptoKeyProjects
의 경우: a. 정책 유형에서 허용을 선택합니다. b. 커스텀 값 아래에under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
,projects/PROJECT_ID
형식을 사용하여 리소스를 입력합니다.완료를 클릭합니다.
저장을 클릭합니다.
다음 단계
- 조직 정책 알아보기
- Cloud SQL에서 비공개 IP가 작동하는 방식 알아보기
- Cloud SQL의 비공개 IP를 구성하는 방법 알아보기
- 조직 정책 서비스 알아보기
- 조직 정책 제약조건 알아보기