이 페이지는 Cloud Translation API를 통해 번역되었습니다.

제약조건 사용

이 가이드에서는 특정 제약조건으로 조직 정책을 만드는 방법을 설명합니다. 이 페이지의 예시에서 사용된 제약조건은 실제 제약조건이 아니라 교육 목적을 위한 일반적인 샘플입니다.

제약조건과 제약조건을 통해 해결하는 문제에 대한 자세한 내용은 모든 조직 정책 서비스 제약조건 목록을 검토하세요.

시작하기 전에

조직 정책 서비스 소개 페이지에서 조직 정책이 작동하는 방법에 대해 알아보세요.
계층 구조 평가 이해 페이지에서 정책 상속에 대해 알아보세요.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직의 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

조직 정책에 목록 제약조건 사용

목록 제약조건을 사용하여 특정 서비스에 대한 액세스를 거부하는 조직 리소스에 조직 정책을 설정할 수 있습니다. 다음 프로세스에서는 Google Cloud CLI를 사용하여 조직 정책을 설정하는 방법을 설명합니다. Google Cloud 콘솔을 사용하여 조직 정책을 보고 설정하는 방법은 정책 만들기 및 관리를 참조하세요.

목록 제약조건을 사용하는 조직 정책은 개별 허용 값이나 거부 값을 500개를 초과하여 가질 수 없으며 32KB를 초과할 수 없습니다. 값이 500개를 초과하거나 크기가 32KB를 초과하도록 조직 정책을 만들거나 업데이트하면 정책이 성공적으로 저장되지 않으며 요청에서 오류를 반환합니다.

조직 리소스에 시행하도록 설정

gcloud CLI를 사용하여 조직에 시행하도록 설정하려면 다음 단계를 따르세요.

describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다. 이 명령어는 이 리소스에 직접 적용되는 정책을 반환합니다.
```
gcloud org-policies describe \
  LIST_CONSTRAINT --organization=ORGANIZATION_ID
```
다음을 바꿉니다.
- ORGANIZATION_ID: 조직 리소스의 고유 식별자입니다. 조직 ID는 십진수 형식이며 앞에 0이 올 수 없습니다.
- LIST_CONSTRAINT: 서비스에 적용할 목록 제약조건입니다. 예를 들어 constraints/gcp.restrictNonCmekServices 제약조건은 고객 관리 암호화 키(CMEK) 없이 리소스를 만들 수 있는 서비스를 제한합니다.
--folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

현재 조직 정책이 있는 경우 해당 정책이 응답에 반환됩니다. 예를 들면 다음과 같습니다.
```
name: projects/841166443394/policies/gcp.resourceLocations
spec:
  etag: BwW5P5cEOGs=
  inheritFromParent: true
  rules:
  - condition:
      expression: resource.matchTagId("tagKeys/1111", "tagValues/2222")
    values:
      allowedValues:
      - in:us-east1-locations
  - condition:
      expression: resource.matchTag("123/env", "prod")
    values:
      allowedValues:
      - in:us-west1-locations
  - values:
      deniedValues:
      - in:asia-south1-locations
  updateTime: '2021-01-19T12:00:51.095Z'
```
정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
set-policy 명령어를 사용하여 조직에 정책을 설정합니다. 그러면 리소스에 연결된 모든 정책이 덮어쓰게 됩니다.
1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
2. set-policy 명령어를 실행합니다.
```
gcloud org-policies set-policy /tmp/policy.yaml
```
describe --effective를 사용하여 현재의 유효 정책을 확인합니다. 그러면 상속이 포함된 리소스 계층 구조에서 이 시점에 평가된 것에 해당하는 조직 정책이 반환됩니다.
```
gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID
```
명령어를 실행하면 다음과 같이 출력됩니다.
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  etag: BwVJi0OOESU=
  rules:
  - values:
      deniedValues:
      - VALUE_A
```
이 조직 정책은 조직 수준에서 설정되었으므로 상속을 허용하는 모든 하위 리소스에 상속됩니다.

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

계층 구조 하위 트리에 시행하도록 설정

목록 제약조건은 명시적으로 정의된 값을 사용하여 허용하거나 거부해야 하는 리소스를 결정합니다. 해당 리소스가 있는 하위 트리를 루트로 지정하는 under: 프리픽스를 사용하는 값을 허용하는 제약조건도 있습니다. 허용된 값 또는 거부된 값에 under: 프리픽스를 사용하면 조직 정책이 해당 리소스 및 모든 하위 항목에 적용됩니다. under: 프리픽스 사용을 허용하는 제약조건에 대한 자세한 내용은 조직 정책 제약조건 페이지를 참조하세요.

under: 프리픽스를 사용하는 값을 계층 구조 하위 트리 문자열이라고 합니다. 계층 구조 하위 트리 문자열은 적용할 리소스 유형을 지정합니다. 예를 들어 constraints/compute.storageResourceUseRestrictions 제약조건을 설정할 때 projects/PROJECT_ID의 하위 트리 문자열을 사용하면 PROJECT_ID 및 모든 하위 항목에 Compute Engine 스토리지의 사용이 허용되거나 거부됩니다.

describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
다음을 바꿉니다.
- ORGANIZATION_ID는 조직 리소스의 고유 식별자입니다.
- LIST_CONSTRAINT는 서비스에 적용할 목록 제약조건입니다.
--folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다. under: 프리픽스는 이름이 지정된 리소스와 모든 하위 리소스를 거부하도록 제약조건을 설정합니다.
1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.
```
name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A
```
2. set-policy 명령어를 실행합니다.
```
gcloud org-policies set-policy /tmp/policy.yaml
```
각 항목의 의미는 다음과 같습니다.
- under:는 하위 트리 문자열이 뒤에 온다는 것을 나타내는 프리픽스입니다.
- folders/VALUE_A는 거부하려는 루트 리소스의 폴더 ID입니다. 이 리소스와 리소스 계층 구조의 모든 하위 항목이 거부됩니다.
다음 예시에서와 같이 under: 프리픽스를 조직 및 프로젝트에 적용할 수도 있습니다.
- under:organizations/VALUE_X
- under:projects/VALUE_Y

describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - under:folders/VALUE_A

이제 정책은 VALUE_A 폴더와 모든 하위 리소스를 거부하도록 평가됩니다.

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

프로젝트에 조직 정책 병합

리소스에 조직 정책을 설정할 수 있습니다. 이 정책은 상위 리소스에서 상속된 정책과 병합됩니다. 이 병합된 정책은 상속 규칙을 기반으로 새로운 유효 정책을 만들도록 평가됩니다.

describe 명령어를 사용하여 리소스의 현재 정책을 가져옵니다.
```
gcloud org-policies describe \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
다음을 바꿉니다.
- PROJECT_ID: 프로젝트의 고유 식별자입니다.
- LIST_CONSTRAINT: 서비스에 적용할 목록 제약조건입니다.
정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

describe --effective 명령어를 사용하여 현재의 유효 정책을 표시합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

이 명령어의 출력에는 조직 리소스에서 상속되는 거부된 값이 포함됩니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A

set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.

정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  inheritFromParent: true
  rules:
  - values:
      deniedValues:
      - VALUE_B
      - VALUE_C

set-policy 명령어를 실행합니다.

gcloud org-policies set-policy /tmp/policy.yaml

describe --effective 명령어를 다시 실행하여 업데이트된 정책을 표시합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

이 명령어의 출력에는 리소스의 정책과 상위 항목의 정책을 병합한 유효 정책이 포함됩니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
        - VALUE_A
        - VALUE_B
        - VALUE_C

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

기본 제약조건 동작 복원

reset 명령어를 사용하여 정책의 기본 동작을 사용하도록 정책을 초기화할 수 있습니다. 사용 가능한 모든 제약조건 및 기본값의 목록은 조직 정책 제약조건을 참조하세요. 다음 예시에서는 기본 제약조건 동작이 모든 값을 허용한다고 가정합니다.

프로젝트의 유효 정책을 가져와서 현재 병합된 정책을 표시합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

PROJECT_ID를 프로젝트의 고유 식별자로 바꿉니다. 명령어를 실행하면 다음과 같이 출력됩니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - values:
      deniedValues:
      - VALUE_A
      - VALUE_B
      - VALUE_C

reset 명령어를 사용하여 조직 정책을 재설정합니다.

gcloud org-policies reset LIST_CONSTRAINT \
    --project=PROJECT_ID

유효 정책을 가져와서 기본 동작을 확인합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

이 명령어의 출력에는 모든 값이 허용됩니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

조직 정책 삭제

리소스에서 조직 정책을 삭제할 수 있습니다. 조직 정책이 설정되지 않은 리소스는 상위 리소스의 모든 정책을 상속합니다. 조직 리소스의 조직 정책을 삭제하면 유효 정책이 제약조건의 기본 동작이 됩니다.

다음 단계에서는 조직의 조직 정책을 삭제하는 방법을 설명합니다.

delete 명령어를 사용하여 조직 리소스의 정책을 삭제합니다.
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
ORGANIZATION_ID를 조직 리소스의 고유 식별자로 바꿉니다. 명령어를 실행하면 다음과 같이 출력됩니다.
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT].
{}
```

조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: organizations/ORGANIZATION_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

다음 단계에서는 프로젝트의 조직 정책을 삭제하는 방법을 설명합니다.

delete 명령어를 사용하여 프로젝트의 정책을 삭제합니다.
```
gcloud org-policies delete \
  LIST_CONSTRAINT \
  --project=PROJECT_ID
```
여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다. 명령어를 실행하면 다음과 같이 출력됩니다.
```
Deleted policy
[projects/PROJECT_ID/policies/LIST_CONSTRAINT].
{}
```

프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

gcloud org-policies describe \
  LIST_CONSTRAINT --effective \
  --project=PROJECT_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: projects/PROJECT_ID/policies/LIST_CONSTRAINT
spec:
  rules:
  - allowAll: true

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

조직 정책에서 부울 제약조건 사용

조직 리소스에 시행하도록 설정

조직 리소스에 조직 정책을 설정하여 부울 제약조건을 시행할 수 있습니다. 다음 프로세스에서는 Google Cloud CLI를 사용하여 조직 정책을 설정하는 방법을 설명합니다. Google Cloud 콘솔을 사용하여 조직 정책을 보고 설정하는 방법은 정책 만들기 및 관리를 참조하세요.

describe 명령어를 사용하여 조직 리소스의 현재 정책을 가져옵니다.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
ORGANIZATION_ID를 조직 리소스의 고유 식별자로 바꿉니다. --folder 또는 --project 플래그와 폴더 ID 또는 프로젝트 ID를 각각 사용하여 조직 정책을 폴더 또는 프로젝트에 적용할 수도 있습니다.

정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.
1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.
```
name: organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: true
```
2. set-policy 명령어를 실행합니다.
```
gcloud org-policies set-policy /tmp/policy.yaml
```

describe --effective를 사용하여 현재의 유효 정책을 확인합니다.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

프로젝트의 조직 정책 재정의

프로젝트의 조직 정책을 재정의하려면 프로젝트 아래 있는 계층 구조의 모든 리소스에 대해 부울 제약조건을 시행하지 못하게 하는 정책을 설정합니다.

리소스의 현재 정책을 가져옵니다.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID
```
여기에서 PROJECT_ID는 프로젝트의 고유 식별자입니다.

정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

프로젝트의 유효 정책을 가져와서 제약조건이 이 프로젝트에 적용되고 있는지 확인합니다.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: projects/PROJECT_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: true

set-policy 명령어를 사용하여 프로젝트에 정책을 설정합니다.
1. 정책을 저장할 /tmp/policy.yaml 임시 파일을 만듭니다.
```
name: projects/PROJECT_ID/policies/BOOLEAN_CONSTRAINT
spec:
  rules:
  - enforce: false
```
2. set-policy 명령어를 실행합니다.
```
gcloud org-policies set-policy /tmp/policy.yaml
```

유효 정책을 가져와서 프로젝트에 더 이상 적용되지 않음을 확인합니다.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID

명령어를 실행하면 다음과 같이 출력됩니다.

name: organizations/ORGANIZATION_ID/policies/BOOLEAN_POLICY
spec:
  rules:
  - enforce: false

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

조직 정책 삭제

다음 단계에서는 조직 및 프로젝트의 조직 정책을 삭제하는 방법을 설명합니다.

delete 명령어를 사용하여 조직 리소스에서 정책을 삭제합니다.
```
gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --organization=ORGANIZATION_ID
```
ORGANIZATION_ID를 조직 리소스의 고유 식별자로 바꿉니다. 명령어를 실행하면 다음과 같이 출력됩니다.
```
Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}
```

조직의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.

gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --organization=ORGANIZATION_ID

정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.

ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

delete 명령어를 사용하여 프로젝트에서 조직 정책을 삭제합니다.

gcloud org-policies delete \
  BOOLEAN_CONSTRAINT \
  --project=PROJECT_ID

명령어를 실행하면 다음과 같이 출력됩니다.

Deleted policy
[organizations/ORGANIZATION_ID/policies/BOOLEAN_CONSTRAINT].
{}

프로젝트의 유효 정책을 가져와서 시행되지 않는 정책을 확인합니다.
```
gcloud org-policies describe \
  BOOLEAN_CONSTRAINT --effective \
  --project=PROJECT_ID
```
PROJECT_ID를 프로젝트의 고유 식별자로 바꿉니다.

정책이 설정되지 않은 경우 NOT_FOUND 오류가 반환됩니다.
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.

조직 정책에서 관리형 제약조건 사용

관리형 제약조건은 커스텀 조직 정책 플랫폼에 빌드된 사전 정의된 제약조건입니다. 사전 정의된 제약조건과 비슷한 방식으로 사용할 수 있지만 조직 정책 서비스에 정책 시뮬레이터와 테스트 실행 조직 정책을 사용하여 정책 변경사항을 더 안전하게 배포할 수 있습니다.

관리형 제약조건 보기 및 식별

조직에 사용 가능한 관리 제약조건을 보려면 다음 단계를 따르세요.

콘솔

Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

조직 정책으로 이동
프로젝트 선택 도구에서 조직 정책을 보려는 프로젝트, 폴더, 조직을 선택합니다. 표시되는 조직 정책 페이지에 이 리소스에 사용할 수 있는 조직 정책 제약조건 목록이 표시됩니다.
제약조건 유형별로 조직 정책 목록을 필터링하거나 정렬하여 관리형 제약조건을 찾을 수 있습니다. 목록에서 세부정보를 확인하려는 관리형 제약조건을 선택합니다. 표시되는 정책 세부정보 페이지에서 이 조직 정책의 소스, 이 리소스의 유효 정책 평가, 제약조건에 관한 세부정보를 확인할 수 있습니다.

gcloud

조직의 조직 정책에 적용된 관리형 및 맞춤 제약조건을 나열하려면 org-policies list-custom-constraints 명령어를 사용합니다.

gcloud org-policies list-custom-constraints \
  --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직의 ID로 바꿉니다.

리소스의 특정 관리 제약 조건에 관한 세부정보를 가져오려면 org-policies describe-custom-constraint 명령어를 사용합니다.

gcloud org-policies describe-custom-constraint CONSTRAINT_NAME \
    --organization=ORGANIZATION_ID

다음을 바꿉니다.

CONSTRAINT_NAME: 세부정보를 가져올 관리형 제약조건의 이름입니다. 예를 들면 iam.managed.disableServiceAccountKeyUpload입니다.
ORGANIZATION_ID: 조직의 ID

REST

조직의 조직 정책에 설정된 관리형 및 맞춤 제약조건을 나열하려면 organizations.customConstraints.list 메서드를 사용합니다.

  GET https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/customConstraints

ORGANIZATION_ID를 조직의 ID로 바꿉니다.

관리형 제약조건 만들기 및 업데이트

조직 정책은 각 관리형 제약조건에 설정된 값으로 정의됩니다. 조직 정책은 리소스에 대해 구성되거나 상위 리소스에서 상속되거나 Google에서 관리하는 기본 동작으로 설정할 수 있습니다.

관리형 제약조건을 기반으로 정책을 만들거나 업데이트하려면 다음 단계를 따르세요.

콘솔

Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

조직 정책으로 이동

프로젝트 선택 도구에서 조직 정책을 수정하려는 프로젝트, 폴더, 조직을 선택합니다. 표시되는 조직 정책 페이지에는 이 리소스에 사용 가능하고 필터링 가능한 조직 정책 제약조건 목록이 표시됩니다.
목록에서 조직 정책을 업데이트하려는 관리형 제약조건을 선택합니다. 정책 세부정보 페이지에서 이 조직 정책의 소스, 이 리소스의 유효 정책 평가, 관리형 제약조건의 세부정보를 볼 수 있습니다.
이 리소스의 조직 정책을 업데이트하려면 정책 관리를 클릭합니다.
정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
규칙 추가를 선택합니다.
시행에서 이 조직 정책 시행을 사용 설정할지 여부를 선택합니다.
필요에 따라 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하는 경우 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
원하는 경우 조직 정책 변경사항이 적용되기 전에 변경사항이 미치는 영향을 미리 보려면 변경사항 테스트를 클릭합니다. 조직 정책 변경사항 테스트에 관한 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참고하세요.
테스트 실행 모드의 조직 정책을 적용하려면 테스트 실행 정책 설정을 클릭합니다. 자세한 내용은 테스트 실행 모드의 조직 정책 만들기를 참조하세요.
테스트 실행 모드의 조직 정책이 의도한 대로 작동하는지 확인한 후 정책 설정을 클릭하여 라이브 정책을 설정합니다.

gcloud

조직 정책을 정의하는 YAML 파일을 만듭니다.
```
name: RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation
spec:
  rules:
  - enforce: ENFORCEMENT_STATE

dryRunSpec:
  rules:
  - enforce: ENFORCEMENT_STATE
```
다음을 바꿉니다.
- RESOURCE_TYPE: organizations, folders 또는 projects
- RESOURCE_ID: RESOURCE_TYPE에 지정된 리소스 유형에 따라 조직 ID, 폴더 ID, 프로젝트 ID 또는 프로젝트 번호
- 설정 시에 이 조직 정책을 적용하려면 ENFORCEMENT_STATE를 true로 바꾸고, 설정 시에 사용 중지하려면 false로 바꿉니다.
필요에 따라 태그에 따라 조직 정책을 조건부로 설정하려면 condition 블록을 rules에 추가합니다. 조건부 규칙을 조직 정책에 추가하는 경우 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
dryRunSpec 플래그와 함께 org-policies set-policy 명령어를 실행하여 조직 정책을 예행 모드로 설정합니다.
```
 gcloud org-policies set-policy POLICY_PATH \
   --update-mask=dryRunSpec
```
POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다.

테스트 실행 조직 정책에 대한 자세한 내용은 테스트 실행 모드의 조직 정책 만들기를 참고하세요.
policy-intelligence simulate orgpolicy 명령어를 사용하여 조직 정책 변경사항이 적용되기 전에 변경사항이 미치는 영향을 미리 봅니다.
```
gcloud policy-intelligence simulate orgpolicy \
  --organization=ORGANIZATION_ID \
  --policies=POLICY_PATH
```
다음을 바꿉니다.
- ORGANIZATION_ID를 조직 ID(예: 1234567890123)로 바꿉니다. 여러 조직에 대한 변경사항 시뮬레이션은 지원되지 않습니다.
- POLICY_PATH: 조직 정책 YAML 파일의 전체 경로
조직 정책 변경사항 테스트에 대한 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참고하세요.
테스트 실행 모드의 조직 정책이 의도한 대로 작동하는지 확인한 후 org-policies set-policy 명령어와 spec 플래그를 사용하여 라이브 정책을 설정합니다.
```
gcloud org-policies set-policy POLICY_PATH \
  --update-mask=spec
```
POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다.

REST

조직 정책을 설정하려면 organizations.policies.create 메서드를 사용합니다.

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

JSON 요청 본문:

{
  "name": "RESOURCE_TYPE/RESOURCE_ID/policies/iam.managed.disableServiceAccountKeyCreation",
  "spec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
  "dryRunSpec": {
    "rules": [
      {
        "enforce": ["ENFORCEMENT_STATE"]
      }
    ]
  }
}

다음을 바꿉니다.

RESOURCE_TYPE: organizations, folders 또는 projects
RESOURCE_ID: RESOURCE_TYPE에 지정된 리소스 유형에 따라 조직 ID, 폴더 ID, 프로젝트 ID 또는 프로젝트 번호
설정 시에 이 조직 정책을 적용하려면 ENFORCEMENT_STATE를 true로 바꾸고, 설정 시에 사용 중지하려면 false로 바꿉니다.

필요에 따라 태그에 따라 조직 정책을 조건부로 설정하려면 condition 블록을 rules에 추가합니다. 조건부 규칙을 조직 정책에 추가하는 경우 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.

테스트 실행 조직 정책에 대한 자세한 내용은 테스트 실행 모드의 조직 정책 만들기를 참고하세요.

조직 정책 변경사항이 완전히 적용되는 데 최대 15분이 걸릴 수 있습니다.