커스텀 제약조건을 사용하여 Cloud Storage 리소스 관리

조직 정책은 Cloud Storage에 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 보다 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 제약조건을 만들고 조직 정책에 이러한 커스텀 제약조건을 사용하면 됩니다.

이 페이지에서는 Cloud Storage 리소스에 정책을 적용하도록 커스텀 제약조건을 설정하는 방법을 설명합니다.

새 제약조건을 프로덕션 환경에 적용하기 전에 테스트하려면 정책 시뮬레이터를 사용하세요.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 조직에 정책을 적용하면 Google Cloud가 조직의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

가격 책정

사전 정의된 제약조건 및 커스텀 제약조건을 포함하여 조직 정책 서비스는 무료로 제공됩니다.

제한사항

  • Cloud Storage 리소스의 커스텀 제약조건은 Google Cloud 콘솔 또는 Google Cloud CLI를 사용해서만 설정할 수 있습니다.

  • 커스텀 제약조건은 Cloud Storage 리소스의 CREATE 또는 UPDATE 메서드에만 적용될 수 있습니다.

  • 새로 적용된 커스텀 제약조건은 기존 리소스에 자동으로 적용되지 않습니다. 제약조건을 적용하려면 기존 리소스를 업데이트해야 합니다.

    업데이트해야 하는 기존 리소스를 찾으려면 테스트 실행 조직 정책을 시행하면 됩니다.

  • 커스텀 제약조건은 객체 또는 버킷에 ACL 또는 IAM 정책을 제한하는 데 사용될 수 없습니다.

Cloud Storage 지원 리소스

Cloud Storage의 경우 다음 리소스에 커스텀 제약조건을 설정할 수 있습니다.

  • 버킷: storage.googleapis.com/Bucket

필요한 역할

커스텀 제약조건으로 조직 정책을 관리하는 데 필요한 역할에 대한 자세한 내용은 필요한 역할을 참조하세요.

조직 정책을 관리하는 것 외에도 만든 커스텀 제약조건을 테스트할 수 있습니다. 커스텀 제약조건을 테스트하려면 특정 제약조건을 테스트하는 데 필요한 권한이 포함된 가장 낮은 수준의 사전 정의된 역할 또는 커스텀 역할을 사용하는 것이 좋습니다. 필요한 권한과 역할은 Cloud Storage의 역할권한을 참조하세요.

커스텀 제약조건 설정

콘솔

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 페이지 상단의 프로젝트 선택 도구를 선택합니다.

  3. 프로젝트 선택 도구에서 조직 정책을 설정할 리소스를 선택합니다.

  4. 커스텀 제약조건을 클릭합니다.

  5. 표시 이름 필드에 제약조건에 대해 사용자 친화적인 이름을 입력합니다. 이 필드의 최대 길이는 200자(영문 기준)입니다. 오류 메시지에 노출될 수 있으므로 제약조건 이름에 민감한 정보 또는 PII를 사용하지 마세요.

  6. 제약조건 ID 상자에 새 커스텀 제약조건에 사용하려는 이름을 입력합니다. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예: custom.enforceBucketVersioning). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예: organizations/123456789/customConstraints/custom.).

  7. 설명 필드에 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대해 사용자 친화적인 설명을 입력합니다. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.

  8. 리소스 유형 필드에서 제한하려는 객체 및 필드가 포함된 Google Cloud REST 리소스 이름을 선택합니다. 예를 들면 storage.googleapis.com/Bucket입니다.

  9. 적용 방법 아래에서 REST CREATE 또는 UPDATE 메서드에 제약조건을 적용할지 여부를 선택합니다.

  10. 조건을 정의하려면 조건 수정을 클릭합니다.

    1. 조건 추가 패널에서 지원되는 서비스 리소스를 참조하는 CEL 조건을 만듭니다(예: resource.versioning.enabled == true). 이 필드의 최대 길이는 1,000자(영문 기준)입니다.

    2. 저장을 클릭합니다.

  11. 작업에서 조건이 충족될 경우 평가된 메서드를 허용하거나 거부할지를 선택합니다.

  12. 제약조건 만들기를 클릭합니다.

각 필드에 값을 입력하면 이 커스텀 제약조건에 해당하는 YAML 구성이 오른쪽에 표시됩니다.

gcloud

Google Cloud CLI를 사용하여 커스텀 제약조건을 만들려면 커스텀 제약조건에 대해 YAML 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

  • ORGANIZATION_ID: 조직 ID(예: 123456789)

  • CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름입니다. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예: custom.enforceBucketVersioning). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예: organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: 제한하려는 객체 및 필드가 포함된 Google Cloud REST 리소스의 정규화된 이름입니다. 예를 들면 storage.googleapis.com/Bucket입니다.

  • METHOD1,METHOD2: 제약조건을 시행할 RESTful 메서드 목록입니다. CREATE 또는 CREATEUPDATE일 수 있습니다.

  • CONDITION: 지원되는 서비스 리소스를 참조하는 CEL 조건입니다(예: "resource.versioning.enabled == true"). 이 필드의 최대 길이는 1000자(영문 기준)입니다. CEL 사용법에 대한 자세한 내용은 Common Expression Language를 참조하세요.

  • ACTION: condition이 충족될 때 수행할 작업입니다. ALLOW 또는 DENY일 수 있습니다.

  • DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름. 이 필드의 최대 길이는 200자(영문 기준)입니다.

  • DESCRIPTION: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명입니다. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.

Google Cloud CLI를 사용하여 새 커스텀 제약조건을 만든 다음에는 조직에서 조직 정책에 사용할 수 있도록 설정해야 합니다. 커스텀 제약조건을 설정하려면 gcloud org-policies set-custom-constraint 명령어를 사용합니다. 

gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH를 커스텀 제약조건 파일의 전체 경로로 바꿉니다. 예를 들면 /home/user/customconstraint.yaml입니다. 완료되면 Google Cloud 조직 정책 목록에서 사용 가능한 조직 정책으로 커스텀 제약조건을 찾습니다. 커스텀 제약조건이 존재하는지 확인하려면 gcloud org-policies list-custom-constraints 명령어를 사용합니다. 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직 리소스의 ID로 바꿉니다. 자세한 내용은 조직 정책 보기를 참조하세요.

요청이 성공하면 출력은 다음과 비슷합니다.

CUSTOM_CONSTRAINT             ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                     DISPLAY_NAME
custom.uniformBucketLevelAccess  DENY         CREATE,UPDATE  storage.googleapis.com/Bucket  Enable object versioning

커스텀 제약조건 설정 및 관리에 대한 자세한 내용은 커스텀 제약조건 만들기 및 관리를 참조하세요.

제약조건 적용

불리언 제약조건을 참조하는 조직 정책을 만들고 해당 조직 정책을 Google Cloud 리소스에 적용하여 불리언 제약조건을 적용할 수 있습니다.

콘솔

불리언 제약조건을 적용하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 페이지 상단의 프로젝트 선택 도구를 선택합니다.
  3. 프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
  4. 조직 정책 페이지의 목록에서 제약조건을 선택합니다. 해당 제약조건의 정책 세부정보 페이지가 표시되어야 합니다.
  5. 이 리소스의 조직 정책을 구성하려면 정책 관리를 클릭합니다.
  6. 정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
  7. 규칙 추가를 클릭합니다.
  8. 시행에서 이 조직 정책 시행을 사용 설정할지 여부를 선택합니다.
  9. 필요에 따라 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하면 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
  10. 커스텀 제약조건인 경우 변경사항 테스트를 클릭하여 이 조직 정책의 효과를 시뮬레이션할 수 있습니다. 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.
  11. 조직 정책을 완료하고 적용하려면 정책 설정을 클릭합니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

gcloud

불리언 제약조건을 시행하는 조직 정책을 만들려면 제약조건을 참조하는 정책 YAML 파일을 만듭니다. 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

다음을 바꿉니다.

  • PROJECT_ID: 제약조건을 시행할 프로젝트
  • CONSTRAINT_NAME: 커스텀 제약조건에 대해 정의된 이름. 예를 들면 custom.uniformBucketLevelAccess입니다.

제약조건이 포함된 조직 정책을 시행하려면 다음 명령어를 실행합니다. 

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

커스텀 제약조건 위반에 따라 거부된 요청은 412 오류(CUSTOM_ORGPOLICY_CONSTRAINT_FAILED)와 함께 실패합니다.

예: 버킷에 고객 관리 암호화 키를 적용하는 제약조건 만들기

gcloud

  1. 다음 정보로 enforceCMEK.yaml 제약조건 파일을 만듭니다.

    name: organizations/ORGANIZATION_ID/customConstraints/custom.customerManagedEncryptionKeys
resource_types: storage.googleapis.com/Bucket
method_types:
– CREATE
– UPDATE
condition: "has(resource.encryption.defaultKmsKeyName)"
action_type: ALLOW
display_name: Enforce Cloud KMS key
description: When this constraint is enforced, newly created buckets and newly updated buckets must be encrypted with a
Cloud KMS key. The Cloud KMS key on existing buckets can be updated but not deleted.

  2. 커스텀 제약조건을 설정합니다.

    gcloud org-policies set-custom-constraint enforceCMEK.yaml

  3. 다음 정보로 enforceCMEK-policy.yaml 정책 파일을 만듭니다.

    name: projects/PROJECT_ID/policies/custom.customerManagedEncryptionKeys
spec:
  rules:
  – enforce: true

    PROJECT_ID를 프로젝트 ID로 바꿉니다.

    이 예시에서는 프로젝트 수준에서 이 제약조건을 적용하지만 조직 또는 폴더 수준에서 이를 설정할 수도 있습니다.

  4. 정책을 적용합니다.

    gcloud org-policies set-policy enforceCMEK-policy.yaml

일반적인 사용 사례의 커스텀 제약조건 예시

다음 섹션에서는 유용할 수 있는 몇 가지 커스텀 제약조건의 구문을 제공합니다.

사용 사례 구문
버킷에 객체 버전 관리가 사용 설정되어 있어야 합니다. 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceBucketVersioning
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.versioning.enabled == true"
      action_type: ALLOW
      display_name: Buckets must have Object Versioning enabled
      description: Newly created buckets and newly updated buckets must have Object Versioning enabled.
특정 정규 표현식을 사용하여 버킷의 이름을 지정해야 합니다. 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.bucketName
      method_types:
      – CREATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.name.matches('^[a-zA-Z]+$')"
      action_type: ALLOW
      display_name: Bucket names must match the specified regular expression
      description: Newly created buckets must have a name that matches the
      specified regular expression. Only letters are allowed in the bucket name.
버킷에서 객체 보관 잠금을 사용 설정할 수 없습니다. 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.prohibitObjectRetentionLock
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.objectRetention.mode == 'Enabled'"
      action_type: DENY
      display_name: Objects cannot have retention configurations
      description: Newly created buckets and newly updated buckets cannot have
      Object Retention Lock enabled.
버킷에 라벨이 있어야 합니다.1 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.labels
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'my_annotations.data.source' in resource.labels && resource.labels['my_annotations.data.source'] in ['SOURCE_IMAGES','SOURCE_TEXT','SOURCE_VIDEOS']"
      action_type: ALLOW
      display_name: Buckets must have a label classifying the contents of the bucket
      description: Newly created buckets and newly updated buckets must have the
      label my_annotations.data.source with the SOURCE_IMAGES, SOURCE_TEXT, or
      SOURCE_VIDEOS key.
버킷은 이중 리전에 있어야 합니다. 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.dualRegionUS
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "'US-EAST1' in resource.customPlacementConfig.dataLocations && 'US-EAST4' in resource.customPlacementConfig.dataLocations"
      action_type: ALLOW
      display_name: Buckets must be located in a dual-region
      description: Newly created buckets and newly updated buckets must be located in a dual-region
      composed of the us-east1 and us-east4 regions.
버킷에서 기존 스토리지 클래스를 사용할 수 없습니다. 
      name: organizations/ORGANIZATION_ID/customConstraints/custom.disableLegacyStorageClass
      method_types:
      – CREATE
      – UPDATE
      resource_types: storage.googleapis.com/Bucket
      condition: "resource.storageClass in ['STANDARD', 'NEARLINE', 'COLDLINE', 'ARCHIVE']"
      action_type: ALLOW
      display_name: Buckets cannot use legacy storage classes
      description: Newly created buckets and newly updated buckets must use
      Standard storage, Nearline storage, Coldline storage, or Archive storage.

1 존재하지 않는 버킷 라벨 키를 지정하면 BAD_CONDITION 오류가 반환됩니다. 이 오류는 CREATEUPDATE 메서드가 버킷에서 실행되지 않도록 차단합니다. 이 오류를 방지하려면 먼저 항상 "my_annotations.data.source" in resource.labels를 사용하여 라벨 키가 존재하는지 확인합니다.

조건의 표현식 필드

다음 표에는 조건을 만드는 데 사용할 수 있는 표현식 필드가 있습니다. 조건은 Common Expression Language(CEL)로 작성됩니다. 이러한 표현식 필드의 값은 대소문자를 구분합니다.

다음 표현식 필드와 지정할 수 있는 값에 대한 설명은 JSON API의 버킷 리소스 표현을 참조하세요.

표현식 필드 값 유형
billing message
billing.requesterPays bool
cors message
cors.maxAgeSeconds int
cors.method list
cors.origin list
cors.responseHeader list
customPlacementConfig message
customPlacementConfig.dataLocations1 list
defaultEventBasedHold bool
encryption message
encryption.defaultKmsKeyName string
iamConfiguration message
iamConfiguration.publicAccessPrevention string
iamConfiguration.uniformBucketLevelAccess message
iamConfiguration.uniformBucketLevelAccess.enabled bool
labels map
lifecycle message
lifecycle.rule list
lifecycle.rule.action message
lifecycle.rule.action.storageClass1 string
lifecycle.rule.action.type string
lifecycle.rule.condition message
lifecycle.rule.condition.age int
lifecycle.rule.condition.createdBefore string
lifecycle.rule.condition.customTimeBefore string
lifecycle.rule.condition.daysSinceCustomTime int
lifecycle.rule.condition.daysSinceNoncurrentTime int
lifecycle.rule.condition.isLive bool
lifecycle.rule.condition.matchesPrefix list
lifecycle.rule.condition.matchesStorageClass list
lifecycle.rule.condition.matchesSuffix list
lifecycle.rule.condition.noncurrentTimeBefore string
lifecycle.rule.condition.numNewerVersions int
location1 string
locationType string
logging message
logging.logBucket string
logging.logObjectPrefix string
objectRetention object
name string
projectNumber string
storageClass1 string
versioning message
versioning.enabled bool
website message
website.mainPageSuffix string
website.notFoundPage string

1 이 필드의 값은 대문자로 작성해야 합니다.

고려사항

커스텀 제약조건 조건에서는 버킷 라벨을 사용하지 않는 것이 좋습니다. 대신 필요한 IAM 역할을 가진 개인만 설정할 수 있으며 라벨보다 더욱 엄격하게 제어되는 태그를 사용하세요.