VPC 흐름 로그의 조직 정책 제약조건

이 페이지에서는 VPC 흐름 로그에 구성할 수 있는 조직 정책 제약조건에 대한 정보를 제공합니다.

관리자는 VPC 흐름 로그를 사용 설정하거나 사용 중지할 수 있습니다. 기본적으로 VPC 흐름 로그를 사용 설정하거나 사용 중지하는 데는 제약이 없습니다.

조직 정책 관리자는 constraints/compute.requireVpcFlowLogs 제약조건을 사용하여 지정된 샘플링 레이트로 정책 범위 내의 모든 서브넷에 VPC 흐름 로그를 사용 설정하도록 설정할 수 있습니다. 이 정책은 서브넷을 만들거나 서브넷의 VPC 흐름 로그 구성을 업데이트할 때 적용됩니다. 기존 서브넷은 VPC 흐름 로그 구성이 업데이트되지 않은 경우 영향을 받지 않습니다.

시작하기 전에

IAM 권한

제약조건을 만드는 주 구성원에게는 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)이 있어야 합니다.

제약조건을 보는 주 구성원은 적절한 리소스에 대한 orgpolicy.policy.get 권한이 있어야 합니다. 예를 들어 조직 정책 뷰어 역할(roles/orgpolicy.policyViewer)에는 orgpolicy.policy.get 권한이 포함됩니다.

조직 정책 배경

이전에 조직 정책 제약조건을 사용한 적이 없다면 다음 페이지를 참조하세요.

제약조건 계획

리소스 계층 구조의 다음 수준에서 제약조건을 만들 수 있습니다.

  • 조직
  • 폴더
  • 프로젝트

기본적으로 노드에서 생성된 제약조건은 모든 하위 노드로 상속됩니다. 하지만 지정된 폴더의 조직 정책 관리자는 지정된 폴더가 상위 폴더에서 상속되는지 여부를 결정하므로 상속은 자동으로 수행되지 않습니다. 자세한 내용은 계층 구조 평가 이해상속을 참조하세요.

VPC 흐름 로그의 샘플링 레이트

constraints/compute.requireVpcFlowLogs 제약조건을 사용하여 다음 샘플링 레이트가 서브넷에 구성되도록 할 수 있습니다.

정책 값 샘플링 레이트
ESSENTIAL 0.1(10%) 이상 0.5(50%) 미만
LIGHT 0.5(50%) 이상 1.0(100%) 미만
COMPREHENSIVE 1.0(100%)과 같음:

이 정책 값을 결합할 수 있습니다. 예시는 다음 표를 참조하세요.

샘플링 레이트 제약조건에 포함할 값
최소 0.1(10%) ESSENTIAL, LIGHT, COMPREHENSIVE
최소 0.5(50%) LIGHT, COMPREHENSIVE
1.0(100%) COMPREHENSIVE

VPC 흐름 로그 제약조건 구성

Console

Google Cloud 콘솔을 사용하여 제약조건을 구성하는 방법에 대한 자세한 내용은 목록 제약조건에 대한 정책 맞춤설정을 참조하세요.

  1. Google Cloud 콘솔에서 VPC 흐름 로그에 사전 정의된 정책 필요 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 수정을 클릭합니다.

  3. 수정 페이지에서 적용 대상 값을 선택합니다.

    • 상위 정책 상속: 프로젝트 또는 폴더에 대한 정책을 구성하는 경우 상위 범위의 정책이 상속됩니다. 조직의 정책을 구성하는 경우 정책이 활성화되지 않습니다.

    • Google에서 관리하는 기본값: 상위 범위에서 사용 설정되어 있는 정책이라도 사용 중지합니다.

    • 맞춤설정: 현재 범위의 모든 서브넷에 대한 정책을 사용 설정하고 구성할 수 있습니다.

  4. 정책 시행에서 교체를 선택합니다.

    VPC 흐름 로그에서는 상위 항목과 병합 옵션이 허용되지 않습니다.

  5. 규칙 섹션에서 규칙 추가를 클릭합니다.

  6. 정책 값에서 커스텀을 선택합니다.

    VPC 흐름 로그에는 다른 값이 허용되지 않습니다.

  7. 정책 유형에서 허용을 선택합니다.

  8. 커스텀 값 섹션에 구성하려는 샘플링 레이트를 나타내는 값 중 하나를 입력합니다.

    원하는 샘플링 레이트를 구성하기 위해 값을 두 개 이상 지정해야 하는 경우 새 정책 값을 클릭하고 다음 값을 입력합니다. 세 번째 값을 지정해야 하는 경우 다시 반복합니다.

  9. 저장을 클릭합니다.

gcloud

Google Cloud CLI를 사용하여 제약조건을 구성하는 방법에 대한 자세한 내용은 조직 리소스에 시행하도록 설정을 참조하세요.

  1. describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다. 이 명령어는 이 리소스에 직접 적용되는 정책을 반환합니다. 정책이 설정되지 않은 경우 명령어는 NOT_FOUND 오류를 반환합니다.

    gcloud org-policies describe \
    compute.requireVpcFlowLogs \
    [ --organization=ID | --folder=ID | --project=ID ]

    다음을 바꿉니다.

    • ID: 제약조건을 적용할 조직, 폴더 또는 프로젝트의 ID입니다.

  2. set-policy 명령어를 사용하여 조직에 정책을 설정합니다. 이 명령어는 현재 리소스에 연결된 정책을 덮어씁니다.

    1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
 spec:
   rules:
   - values:
       allowedValues:
       - POLICY_VALUES

      다음을 바꿉니다.

      • RESOURCE_TYPE: 정책을 적용할 리소스 유형입니다. organizations, folders, projects가 유효한 옵션입니다.

      • ID: 제약조건을 적용할 조직, 폴더 또는 프로젝트의 ID입니다.

      • POLICY_VALUES: 구성하려는 샘플링 레이트를 나타내는 값입니다. 여러 값을 결합할 수 있습니다. 자세한 내용은 VPC 흐름 로그의 샘플링 레이트를 참조하세요.

      이 예시 제약조건은 조직 수준에서 10% 이상의 샘플링 레이트가 필요합니다.

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - ESSENTIAL
     - LIGHT
     - COMPREHENSIVE

      이 예시 제약조건은 조직 수준에서 50% 이상의 샘플링 레이트가 필요합니다.

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - LIGHT
     - COMPREHENSIVE

      이 예시 제약조건은 조직 수준에서 100%의 샘플링 레이트가 필요합니다.

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - COMPREHENSIVE

    2. set-policy 명령어를 실행합니다.

       gcloud org-policies set-policy /tmp/policy.yaml

  3. describe --effective를 사용하여 현재의 유효 정책을 확인합니다. 이 명령어는 상속이 포함된 리소스 계층 구조에서 이 시점에 평가된 것에 해당하는 조직 정책을 반환합니다.

    gcloud org-policies describe \
    compute.requireVpcFlowLogs --effective \
    [ --organization=ID | --folder=ID | --project=ID ]

VPC 흐름 로그 요구사항 설정의 효과

constraints/compute.requireVpcFlowLogs 제약조건으로 조직 정책을 구성하면 서브넷을 만들거나 기존 서브넷의 VPC 흐름 로그 구성을 업데이트할 때 오류가 발생하여 구성이 정책의 요구사항을 충족하지 않을 수 있습니다.

오류가 발생하면 유효한 구성을 만들 수 있도록 제약조건이 어떻게 구성되어 있는지 알아야 할 수 있습니다. 제약조건을 볼 수 있는 IAM 권한이 없으면 조직 관리자에게 문의하세요.

VPC 흐름 로그 구성이 업데이트되지 않는 한 정책이 설정되기 전에 생성된 서브넷은 정책의 영향을 받지 않습니다.

서브넷 생성에 미치는 영향

정책 범위에서 새 서브넷을 만들 때 다음이 적용됩니다.

  • VPC 흐름 로그가 정책 요구사항을 충족하는 샘플링 레이트로 명시적으로 사용 설정된 경우 VPC 흐름 로그가 사용 설정되고 요청된 샘플링 레이트로 서브넷이 생성됩니다.

  • 정책 요구사항을 충족하지 않는 샘플링 레이트로 VPC 흐름 로그가 명시적으로 사용 설정된 경우 오류가 반환되고 서브넷이 생성되지 않습니다.

  • VPC 흐름 로그가 명시적으로 사용 중지된 경우 오류가 반환되고 서브넷이 생성되지 않습니다.

  • VPC 흐름 로그가 설정되지 않았고 샘플링 레이트도 설정되지 않은 경우 VPC 흐름 로그가 사용 설정되고 정책에 필요한 최소 샘플링 레이트로 서브넷이 생성됩니다. 예를 들어 정책이 LIGHTCOMPREHENSIVE 정책 값으로 구성된 경우 샘플링 레이트는 0.5(50%)로 설정됩니다.

서브넷 업데이트에 미치는 영향

정책 범위에서 기존 서브넷을 업데이트할 때 다음이 적용됩니다.

  • 업데이트에서 VPC 흐름 로그를 사용 설정하거나 VPC 흐름 로그가 이미 사용 설정되고 샘플링 레이트가 정책 요구사항을 충족하는 값으로 설정되면 서브넷이 업데이트되고 VPC 흐름 로그가 요청된 샘플링 레이트로 사용 설정됩니다.

  • 업데이트 시 VPC 흐름 로그가 사용 설정되었거나 VPC 흐름 로그가 이미 사용 설정된 상태에서 샘플링 레이트가 정책 요구사항을 충족하지 않는 값으로 설정되면 오류가 반환되고 서브넷이 업데이트되지 않습니다.

  • 업데이트 시 VPC 흐름 로그가 사용 중지되면 오류가 반환되고 서브넷이 업데이트되지 않습니다.

  • 업데이트 시 VPC 흐름 로그가 사용 설정 또는 사용 중지되고 샘플링 속도도 설정되지 않으면 정책이 무시되고 서브넷이 업데이트됩니다.

자동 모드 VPC 네트워크 생성에 미치는 영향

자동 모드 VPC 네트워크가 만들어질 때 각 리전에 서브넷이 자동으로 만들어집니다. 네트워크가 VPC 흐름 로그 정책 범위 내에 있으면 VPC 흐름 로그는 정책에서 정의된 최소 샘플링 레이트로 서브넷에서 사용 설정됩니다. 예를 들어 정책이 LIGHTCOMPREHENSIVE 정책 값으로 구성된 경우 샘플링 레이트는 0.5(50%)로 설정됩니다.

다음 단계