허용 정책에 커스텀 조직 정책 사용
컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 조직 정책 서비스 커스텀 제약 조건을 사용하여 다음 Google Cloud 리소스에 대한 특정 작업을 제한하는 방법을 보여줍니다.

iam.googleapis.com/AllowPolicy

조직 정책에 대한 자세한 내용은 커스텀 조직 정책을 참조하세요.

조직 정책 및 제약조건 정보

Google Cloud 조직 정책 서비스를 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서Google Cloud 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약 조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 조직, 폴더 또는 프로젝트 수준에서 조직 정책을 적용할 수 있습니다.

조직 정책은 다양한 Google Cloud 서비스에 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 보다 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 제약조건을 만들고 조직 정책에 이러한 커스텀 제약조건을 사용할 수 있습니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud 가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

이점

IAM 속성을 참조하는 커스텀 조직 정책을 사용하여 허용 정책을 수정하는 방법을 제어할 수 있습니다. 구체적으로 다음을 제어할 수 있습니다.

역할이 부여될 수 있는 사용자
역할이 취소될 수 있는 사용자
부여될 수 있는 역할
취소될 수 있는 역할

예를 들어 이메일 주소가 @gmail.com으로 끝나는 주 구성원에게 admin 단어가 포함된 역할이 부여되지 않도록 할 수 있습니다.

제한사항

IAM 속성을 참조하는 테스트 실행 모드의 커스텀 조직 정책에는 일부 제한사항이 적용됩니다. 즉, setIamPolicy 메서드와 관련된 위반 사항에 대한 감사 로그에 다음 필드가 누락될 수 있습니다.
- resourceName
- serviceName
- methodName
감사 로그가 IAM과 관련된 모든 커스텀 조직 정책 위반에 대해 생성되지는 않습니다. 즉, 커스텀 조직 정책으로 인해 조직 리소스에 대한 setIamPolicy 작업이 실패할 경우Google Cloud 에서는 해당 이벤트에 대해 감사 로그가 생성되지 않습니다.
IAM 속성을 참조하는 커스텀 조직 정책은 다음 항목에 영향을 주지 않습니다.
- Cloud Storage ACL의 기본 권한 부여
- Cloud Storage 단축값 및 BigQuery 기본 데이터 세트 액세스를 위한 자동 역할 부여
- 기본 허용 정책으로 부여되는 역할(예: 프로젝트에 대해 소유자 역할(roles/owner)이 자동으로 부여되는 프로젝트 생성자)
소유자 역할(roles/owner)이 부여되지 않도록 방지하는 커스텀 조직 정책이 있더라도 사용자에게 소유자가 되기 위한 초대가 전송될 수 있습니다. 하지만 커스텀 조직 정책은 초대가 전송되는 것을 방지하지 않으며, 초대를 받은 사용자에게 소유자 역할이 부여되는 것을 방지합니다. 초대 받은 사용자가 초대를 수락하려고 시도하면 오류가 표시되고 소유자 역할이 부여되지 않습니다.
리소스 만들기나 API 사용 설정과 같은 Google Cloud의 일부 작업에는 서비스 에이전트 또는 기본 서비스 계정에 역할을 자동으로 부여하는 과정이 포함됩니다. 작업에 자동 역할 부여가 포함되고 조직 정책에 따라 해당 역할이 부여되지 않도록 방지될 경우 전체 작업이 실패할 수 있습니다.

이 문제가 발생할 경우 태그를 사용해서 역할 부여를 방지하는 제약조건을 일시적으로 사용 중지할 수 있습니다. 그런 후 작업을 수행합니다. 작업이 완료되면 제약조건을 다시 사용 설정합니다.

시작하기 전에

IAM 리소스를 참조하는 커스텀 조직 정책을 테스트하려면 새 프로젝트를 만듭니다. 기존 프로젝트에서 조직 정책을 테스트하면 보안 워크플로가 중단될 수 있습니다.
1. In the Google Cloud console, go to the project selector page.
  
  Go to project selector
2. Select or create a Google Cloud project.
  
  Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음의 IAM 역할을 부여해 달라고 요청합니다.

조직에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin)
이 페이지에서 설명하는 조직 정책 테스트: 프로젝트에 대한 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 조직 정책 관리에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

조직 정책을 관리하려면 다음 권한이 필요합니다.

조직에 대한 orgpolicy.* 권한
이 페이지에서 설명하는 조직 정책 테스트: 프로젝트에 대한 resourcemanager.projects.setIamPolicy

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

커스텀 제약조건 만들기

커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 사용하여 YAML 파일에서 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.

커스텀 제약조건을 만들려면 다음 형식을 사용하여 YAML 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

ORGANIZATION_ID: 조직 ID입니다(예: 123456789).
CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름입니다. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다. 예를 들면 custom.denyProjectIAMAdmin입니다. 이 필드의 최대 길이는 70자입니다.
RESOURCE_NAME: 제한하려는 객체 및 필드가 포함된Google Cloud 리소스의 정규화된 이름. 예를 들면 iam.googleapis.com/AllowPolicy입니다.
CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건. 이 필드의 최대 길이는 1000자(영문 기준)입니다. 조건을 작성하는 데 사용할 수 있는 리소스에 대한 자세한 내용은 지원되는 리소스를 참조하세요. 예를 들면 resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))입니다.
ACTION: condition이 충족될 때 수행할 작업. 가능한 값은 ALLOW 및 DENY입니다.
DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름. 이 필드의 최대 길이는 200자(영문 기준)입니다.
DESCRIPTION: 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.

커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.

커스텀 제약조건 설정

새 커스텀 제약조건의 YAML 파일을 만든 후에는 조직에서 조직 정책에 사용할 수 있도록 설정해야 합니다. 커스텀 제약조건을 설정하려면 gcloud org-policies set-custom-constraint 명령어를 사용합니다.

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

CONSTRAINT_PATH를 커스텀 제약조건 파일의 전체 경로로 바꿉니다. 예를 들면 /home/user/customconstraint.yaml입니다. 완료되면 Google Cloud 조직 정책 목록에서 조직 정책으로 커스텀 제약 조건을 사용할 수 있습니다. 커스텀 제약 조건이 존재하는지 확인하려면 gcloud org-policies list-custom-constraints 명령어를 사용합니다.

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직 리소스 ID로 바꿉니다. 자세한 내용은 조직 정책 보기를 참조하세요.

커스텀 조직 정책 적용

불리언 제약 조건을 참조하는 조직 정책을 만들고 해당 조직 정책을 Google Cloud 리소스에 적용하여 불리언 제약 조건을 적용할 수 있습니다.

콘솔

Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.
조직 정책으로 이동
프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
조직 정책 페이지의 목록에서 제약조건을 선택하여 해당 제약조건의 정책 세부정보 페이지를 봅니다.
이 리소스의 조직 정책을 구성하려면 정책 관리를 클릭합니다.
정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
규칙 추가를 클릭합니다.
적용 섹션에서 이 조직 정책 적용을 사용 설정할지 여부를 선택합니다.
(선택사항) 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하면 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그렇지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 설정을 참조하세요.
커스텀 제약조건인 경우 변경사항 테스트를 클릭하여 이 조직 정책의 효과를 시뮬레이션할 수 있습니다. 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.
조직 정책을 완료하고 적용하려면 정책 설정을 클릭합니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

gcloud

불리언 제약조건을 적용하는 조직 정책을 만들려면 제약조건을 참조하는 정책 YAML 파일을 만듭니다.

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

다음을 바꿉니다.

PROJECT_ID: 제약조건을 적용할 프로젝트입니다.
CONSTRAINT_NAME: 커스텀 제약조건에 대해 정의된 이름입니다. 예를 들면 custom.denyProjectIAMAdmin입니다.

제약조건이 포함된 조직 정책을 적용하려면 다음 명령어를 실행합니다.

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

커스텀 조직 정책 테스트

원하는 경우 정책을 설정한 후 정책에서 방지해야 하는 작업을 시도하여 조직 정책을 테스트할 수 있습니다.

제약조건 만들기

다음 파일을 constraint-deny-project-iam-admin으로 저장합니다.

name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

다음 값을 바꿉니다.

ORG_ID:Google Cloud 조직의 숫자 ID입니다.
MEMBER_EMAIL_ADDRESS: 커스텀 제약 조건을 테스트하는 데 사용하려는 주 구성원의 이메일 주소. 제약 조건이 활성화된 상태에서는 제약 조건을 적용하려는 프로젝트에 대한 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 이 주 구성원에게 부여할 수 없습니다.

제약조건을 적용합니다.

gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

제약조건이 있는지 확인합니다.

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

정책 만들기

다음 파일을 policy-deny-project-iam-admin.yaml로 저장합니다.
```
name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true
```
여기서 PROJECT_ID를 프로젝트 ID로 바꿉니다.

정책을 적용합니다.

gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

정책이 있는지 확인합니다.

gcloud org-policies list --project=PROJECT_ID

정책을 적용한 후 Google Cloud 가 정책 시행을 시작할 때까지 2분 정도 기다립니다.

정책 테스트

커스텀 제약 조건에 포함한 이메일 주소를 가진 주 구성원에게 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 부여해 봅니다. 명령어를 실행하기 전에 다음 값을 바꿉니다.

PROJECT_ID: 제약 조건을 적용한 Google Cloud프로젝트의 ID입니다.
EMAIL_ADDRESS: 조직 정책 제약 조건을 만들 때 지정한 주 구성원의 이메일 주소입니다.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

출력은 다음과 같습니다.

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

일반적인 사용 사례의 커스텀 조직 정책 예시

다음 표에는 일반적인 사용 사례에 대한 몇 가지 커스텀 제약 조건의 구문이 나와 있습니다.

다음 예시에서는 CEL 매크로 all 및 exists를 사용합니다. 이러한 매크로에 대한 자세한 내용은 목록 평가 매크로를 참조하세요.

설명	제약조건 구문
특정 역할을 부여하는 기능을 차단합니다.	name: organizations/`ORG_ID`/customConstraints/custom.denyRole resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameMatches(binding.role, ['`ROLE`']) )" actionType: DENY displayName: Do not allow the `ROLE` role to be granted
특정 역할만 부여하도록 허용합니다.	name: organizations/`ORG_ID`/customConstraints/custom.specificRolesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['`ROLE_1`', '`ROLE_2`']) )" actionType: ALLOW displayName: Only allow the `ROLE_1` role and `ROLE_2` role to be granted
`roles/storage.`로 시작하는 역할이 부여되지 않도록 합니다.	name: organizations/`ORG_ID`/customConstraints/custom.dontgrantStorageRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) )" actionType: DENY displayName: Prevent roles that start with "roles/storage." from being granted
이름에 `admin`이 있는 역할이 취소되지 않도록 합니다.	name: organizations/`ORG_ID`/customConstraints/custom.dontRevokeAdminRoles resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, RoleNameContains(binding.role, ['admin']) )" actionType: DENY displayName: Prevent roles with "admin" in their names from being revoked
특정 주 구성원에만 역할이 부여되도록 허용합니다.	name: organizations/`ORG_ID`/customConstraints/custom.allowSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberSubjectMatches(member, ['user:`USER`','serviceAccount:`SERVICE_ACCOUNT`']) ) )" actionType: ALLOW displayName: Only allow roles to be granted to `USER` and `SERVICE_ACCOUNT`
특정 주 구성원에서만 역할이 취소되지 않도록 합니다.	name: organizations/`ORG_ID`/customConstraints/custom.denyRemovalOfSpecificPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - REMOVE_GRANT condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectMatches(member, ['user:`USER_1`','user:`USER_2`']) ) )" actionType: DENY displayName: Do not allow roles to be revoked from `USER_1` or `USER_2`
이메일 주소가 `@gmail.com`으로 끝나는 주 구성원에게 역할이 부여되지 않도록 합니다.	name: organizations/`ORG_ID`/customConstraints/custom.dontGrantToGmail resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, binding.members.exists(member, MemberSubjectEndsWith(member, ['@gmail.com']) ) )" actionType: DENY displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
특정 역할만 특정 주 구성원에게 부여하도록 허용합니다.	name: organizations/`ORG_ID`/customConstraints/custom.allowSpecificRolesAndPrincipals resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, RoleNameMatches(binding.role, ['`ROLE_1`', '`ROLE_2`']) && binding.members.all(member, MemberSubjectMatches(member, ['serviceAccount:`SERVICE_ACCOUNT`', 'group:`GROUP`']) ) )" actionType: ALLOW displayName: Only allow `ROLE_1` and `ROLE_2` to be granted to `SERVICE_ACCOUNT` and `GROUP`
Cloud Storage 역할이 `allUsers` 및 `allAuthenticatedUsers`에 부여되지 않도록 합니다.	name: organizations/`ORG_ID`/customConstraints/custom.denyStorageRolesForPrincipalAllUsers resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.exists( binding, RoleNameStartsWith(binding.role, ['roles/storage.']) && binding.members.exists(member, MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers']) ) )" actionType: DENY displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
조직 외부의 ID에 역할이 부여되지 않도록 방지합니다.	name: organizations/`ORG_ID`/customConstraints/custom.allowInternaldentitiesOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/`ORG_ID`']) ) )" actionType: ALLOW displayName: Only allow organization members to be granted roles
서비스 계정에만 역할이 부여되도록 허용합니다.	name: organizations/`ORG_ID`/customConstraints/custom.allowServiceAccountsOnly resourceTypes: iam.googleapis.com/AllowPolicy methodTypes: - CREATE - UPDATE condition: "resource.bindings.all( binding, binding.members.all(member, MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount']) ) )" actionType: ALLOW displayName: Only allow service accounts to be granted roles

Identity and Access Management 지원 리소스

IAM은 AllowPolicy 리소스를 지원합니다. 이 리소스에는 리소스의 허용 정책을 수정하는 모든 메서드에 대해 반환되는 resources.bindings 속성이 포함됩니다. 리소스의 허용 정책을 수정하는 모든 메서드는 setIamPolicy로 끝납니다.

resource.bindings 속성 구조는 다음과 같습니다. 여기서 BINDINGS는 허용 정책을 변경하는 중에 수정한 역할 바인딩의 배열입니다.

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings의 각 바인딩 구조는 다음과 같습니다. 여기서 ROLE은 역할 바인딩의 역할 이름이고 MEMBERS는 역할 바인딩에 추가되었거나 삭제된 모든 주 구성원의 식별자 목록입니다.

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

주 구성원 식별자에 지정할 수 있는 형식을 보려면 주 구성원 식별자를 참조하세요.

지원되는 함수를 사용해야지만 resource.bindings 속성과 해당 필드를 평가할 수 있습니다. ==, !=, in, contains, startsWith, endsWith와 같은 다른 연산자 및 함수는 지원되지 않습니다.

지원되는 함수

다음 CEL 함수를 사용하여 바인딩에 있는 개별 역할 및 구성원을 평가할 수 있습니다.

bindings 배열에 있는 모든 바인딩 또는 members 배열에 있는 모든 구성원을 평가하려면 all 및 exists 매크로를 사용합니다. 자세한 내용은 이 페이지에서 목록 평가 매크로를 참조하세요.

또한 논리 연산자 &&(and) 및 ||(or)를 사용하여 다중 파트 조건을 작성할 수 있습니다.

함수	설명
`RoleNameMatches( role, roleNames: list )` `bool`	`role` 역할이 `roleNames`에 나열된 역할 중 최소 하나 이상과 일치하면 `true`를 반환합니다. 파라미터 `role`: 평가할 역할입니다. `roleNames`: 일치시킬 역할 이름의 목록입니다. 예시 지정된 `binding`의 `role`이 `roles/storage.admin` 또는 `roles/compute.admin`이면 `true`를 반환합니다. RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
`RoleNameStartsWith( role, rolePrefixes: list )` `bool`	`role` 역할이 `rolePrefixes`에 나열된 문자열 중 최소 하나 이상으로 시작하면 `true`를 반환합니다. 파라미터 `role`: 평가할 역할입니다. `rolePrefixes`: 역할 시작 부분을 일치시킬 문자열 목록입니다. 예시 지정된 `binding`의 `role`이 `roles/storage`로 시작하면 `true`를 반환합니다. RoleNameStartsWith(binding.role, ['roles/storage'])
`RoleNameEndsWith( role, roleSuffixes: list )` `bool`	`role` 역할이 `roleSuffixes`에 나열된 문자열 중 최소 하나 이상으로 끝나면 `true`를 반환합니다. 파라미터 `role`: 평가할 역할입니다. `roleSuffixes`: 역할 끝 부분을 일치시킬 문자열 목록입니다. 예시 지정된 `binding`의 `role`이 `.admin`으로 끝나면 `true`를 반환합니다. RoleNameEndsWith(binding.role, ['.admin'])
`RoleNameContains( role, roleSubstrings: list )` `bool`	`roleSubstrings`에 나열된 문자열 중 최소 하나 이상이 `role` 역할에 포함되어 있으면 `true`를 반환합니다. 파라미터 `role`: 평가할 역할입니다. `roleSubstrings`: 역할 부분을 일치시킬 문자열 목록입니다. 예시 지정된 `binding`의 `role`에 `admin` 문자열이 포함되어 있으면 `true`를 반환합니다. RoleNameContains(binding.role, ['admin'])
`MemberSubjectMatches( member, memberNames: list )` `bool`	`member` 구성원이 `memberNames`에 나열된 구성원 중 최소 하나 이상과 완전히 일치하면 `true`를 반환합니다. `member`의 식별자가 이메일 주소이면 이 함수는 해당 이메일 주소만 평가하고 이메일 주소의 별칭을 평가하지 않습니다. 파라미터 `member`: 평가할 구성원입니다. `memberNames`: 일치시킬 구성원 이름의 목록입니다. 예시 `member` 구성원이 `rosario@example.com`이면 `true`를 반환합니다. MemberSubjectMatches(member, ['user:rosario@example.com'])
`MemberSubjectStartsWith( member, memberPrefixes: list )` `bool`	`member` 구성원이 `memberPrefixes`에 나열된 문자열 중 최소 하나 이상으로 시작하면 `true`를 반환합니다. `member`의 식별자가 이메일 주소이면 이 함수는 해당 이메일 주소만 평가하고 이메일 주소의 별칭을 평가하지 않습니다. 파라미터 `member`: 평가할 구성원입니다. `memberPrefixes`: 구성원 이름의 시작 부분을 비교할 문자열 목록입니다. 예시 `member` 구성원이 `user:prod-`로 시작하면 `true`를 반환합니다. MemberSubjectStartsWith(member, ['user:prod-'])
`MemberSubjectEndsWith( member, memberSuffixes: list )` `bool`	`member` 구성원이 `memberSuffixes`에 나열된 문자열 중 최소 하나 이상으로 끝나면 `true`를 반환합니다. `member`의 식별자가 이메일 주소이면 이 함수는 해당 이메일 주소만 평가하고 이메일 주소의 별칭을 평가하지 않습니다. 파라미터 `member`: 평가할 구성원입니다. `memberSuffixes`: 구성원 이름 끝 부분을 일치시킬 문자열 목록입니다. 예시 `member` 구성원이 `@example.com`으로 끝나면 `true`를 반환합니다. MemberSubjectEndsWith(member, ['@example.com'])
`MemberInPrincipalSet( member, principalSets: list )` `bool`	구성원이 나열된 주 구성원 집합 중 하나 이상에 속하는 경우 `true`를 반환합니다. 파라미터 `member`: 평가할 구성원입니다. `principalSets`: 주 구성원 집합의 목록입니다. 함수가 `true`로 평가되기 위해서는 구성원이 주 구성원 집합 중 하나 이상에 있어야 합니다. 지원되는 주 구성원 집합은 `//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID` 형식의 조직 주 구성원 집합뿐입니다. `MemberInPrincipalSet` 함수에 사용된 경우 이 주 구성원 집합에는 다음 주 구성원이 포함됩니다. Google Workspace 고객 ID와 연결된 모든 도메인의 모든 ID 조직의 모든 직원 ID 풀 조직의 모든 프로젝트에 있는 모든 서비스 계정과 워크로드 아이덴티티 풀 조직의 리소스와 연결된 모든 서비스 에이전트 예시 `member` 구성원이 ID가 `123456789012`인 `@example.com` 조직에 속하는 경우 `true`를 반환합니다. MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
`MemberTypeMatches( member, principalType: list )` `bool`	구성원이 나열된 주 구성원 유형 중 하나이면 `true`를 반환합니다. 파라미터 `member`: 평가할 구성원입니다. `principalType`: 주 구성원 유형의 목록입니다. 함수가 `true`로 평가되기 위해서는 구성원이 나열된 주 구성원 유형 중 하나여야 합니다. 지원되는 주 구성원 유형을 알아보려면 `MemberTypeMatches`에 지원되는 주 구성원 유형을 참조하세요. 예시 `member` 구성원의 주 구성원 유형이 `iam.googleapis.com/WorkspacePrincipal` 또는 `iam.googleapis.com/WorkspaceGroup`이면 `true`를 반환합니다. MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

목록 평가 매크로

all 및 exists 매크로를 사용하여 항목 목록의 조건 표현식을 평가합니다.

매크로 설명

매크로	설명
`list.all( item, conditionExpression )` `bool`	`list`에서 모든 `item`에 대해 `conditionExpression`이 `true`로 평가되면 `true`를 반환합니다. 이 매크로는 일반적으로 `actionType`이 `ALLOW`인 커스텀 조직 정책에 사용됩니다. 예를 들어 이 매크로를 사용하면 모든 수정된 주 구성원이 조건을 충족할 경우에만 작업이 허용되도록 보장할 수 있습니다. 파라미터 `list`: 평가할 항목 목록입니다. `item`: 평가할 목록 항목입니다. 예를 들어 `resource.bindings` 목록에서 이 메서드를 호출할 경우 `binding` 값을 사용합니다. `conditionExpression`: 각 `item`을 평가할 조건 표현식입니다. 예시 `resource.bindings`의 모든 바인딩에 `roles/storage.`로 시작하는 역할이 있으면 `true`를 반환합니다. 바인딩 중에 `roles/storage.`로 시작하지 않는 역할이 있으면 `false`를 반환합니다. resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
`list.exists( item, conditionExpression )` `bool`	`conditionExpression`이 `list`에서 모든 `item`에 대해 `true`로 평가되는 경우 `true`를 반환합니다. 이 매크로는 일반적으로 `actionType`이 `DENY`인 커스텀 조직 정책에 사용됩니다. 예를 들어 이 매크로를 사용하여 수정된 주 구성원 중 하나라도 조건을 충족할 경우 작업이 거부되도록 보장할 수 있습니다. 파라미터 `list`: 평가할 항목 목록입니다. `item`: 평가할 목록 항목입니다. 예를 들어 `resource.bindings` 목록에서 이 메서드를 호출할 경우 `binding` 값을 사용합니다. `conditionExpression`: 각 `item`을 평가할 조건 표현식입니다. 예시 `resource.bindings`의 어떤 바인딩이라도 `roles/storage.`로 시작하는 역할이 있으면 `true`를 반환합니다. 바인딩에 `roles/storage.`로 시작하는 역할이 없으면 `false`를 반환합니다. resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

list.

all(
  item,
  conditionExpression
)

bool

list에서 모든 item에 대해 conditionExpression이 true로 평가되면 true를 반환합니다.

이 매크로는 일반적으로 actionType이 ALLOW인 커스텀 조직 정책에 사용됩니다. 예를 들어 이 매크로를 사용하면 모든 수정된 주 구성원이 조건을 충족할 경우에만 작업이 허용되도록 보장할 수 있습니다.

파라미터

list: 평가할 항목 목록입니다.

item: 평가할 목록 항목입니다. 예를 들어 resource.bindings 목록에서 이 메서드를 호출할 경우 binding 값을 사용합니다.

conditionExpression: 각 item을 평가할 조건 표현식입니다.

예시

resource.bindings의 모든 바인딩에 roles/storage.로 시작하는 역할이 있으면 true를 반환합니다. 바인딩 중에 roles/storage.로 시작하지 않는 역할이 있으면 false를 반환합니다.

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

list.

exists(
  item,
  conditionExpression
)

bool

conditionExpression이 list에서 모든 item에 대해 true로 평가되는 경우 true를 반환합니다.

이 매크로는 일반적으로 actionType이 DENY인 커스텀 조직 정책에 사용됩니다. 예를 들어 이 매크로를 사용하여 수정된 주 구성원 중 하나라도 조건을 충족할 경우 작업이 거부되도록 보장할 수 있습니다.

파라미터

list: 평가할 항목 목록입니다.

item: 평가할 목록 항목입니다. 예를 들어 resource.bindings 목록에서 이 메서드를 호출할 경우 binding 값을 사용합니다.

conditionExpression: 각 item을 평가할 조건 표현식입니다.

예시

resource.bindings의 어떤 바인딩이라도 roles/storage.로 시작하는 역할이 있으면 true를 반환합니다. 바인딩에 roles/storage.로 시작하는 역할이 없으면 false를 반환합니다.

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

중첩된 목록을 포함하는 조건

일반적으로 조건에 중첩된 목록이 포함되었으면 조건의 모든 목록에 대해 동일한 매크로를 사용해야 합니다.

다음 예시를 고려하세요.

정책에 actionType ALLOW가 포함된 경우 모든 수정된 바인딩에서 모든 구성원이 조건을 충족할 경우에만 정책 수정이 허용되도록 보장하기 위해 members 목록 및 bindings 목록 모두에 대해 all 매크로를 사용합니다.
정책에 actionType DENY가 포함된 경우 어느 수정된 바인딩에 있는 어느 구성원이라도 조건을 충족할 경우에 정책 수정이 허용되지 않도록 보장하기 위해 members 목록 및 bindings 목록 모두에 대해 exists 매크로를 사용합니다.

단일 조건에 매크로를 혼합하면 의도한 방식으로 작동하지 않는 조건이 발생할 수 있습니다.

예를 들어 example.com 조직 외부의 구성원에게 역할이 부여되지 않도록 방지한다고 가정해 보세요. example.com 조직의 ID는 123456789012입니다.

이 목표를 달성하기 위해서는 다음 조건을 작성합니다.

권장하지 않음 — 잘못 구성된 조건

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

이 조건은 example.com 조직 외부의 구성원에게 역할이 부여되지 않도록 방지하는 것으로 보입니다. 하지만 이 조건은 각각의 수정된 역할 바인딩에 있는 어느 구성원이라도 example.com 조직에 있는 경우 true로 평가됩니다. 따라서 example.com 조직에 있는 구성원에게 동일한 역할을 부여할 경우 example.com 조직 외부의 구성원에게도 역할을 부여할 수 있습니다.

예를 들어 이 조건은 구성원 중 하나가 example.com 조직에 있지 않아도 다음 바인딩 집합에 대해 true로 평가됩니다.

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

대신 다음과 같이 조건을 작성해야 합니다.

권장 — 올바르게 구성된 조건

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

members.bindings 배열 및 resource.bindings 배열 모두에 대해 all 매크로를 사용하면 모든 바인딩의 모든 구성원이 example.com 주 구성원 집합에 있는 경우에만 조건이 true로 평가되도록 보장할 수 있습니다.

`MemberTypeMatches`에 지원되는 주 구성원 유형

MemberTypeMatches 함수에서는 지정된 구성원이 일치해야 하는 주 구성원 유형을 지정해야 합니다.

다음 표에서는 입력할 수 있는 주 구성원 유형과 각 주 구성원 유형이 나타내는 항목에 대한 설명을 보여줍니다. 또한 각 주 구성원 유형에 해당하는 주 구성원 식별자를 보여줍니다. 이러한 식별자는 IAM 정책에 사용되는 값입니다.

주 구성원 유형	설명	주 구성원 식별자
`iam.googleapis.com/ConsumerPrincipal`	일반 Google 계정. 이러한 계정의 이메일 주소는 일반적으로 `gmail.com`으로 끝납니다.	`user:USER_EMAIL_ADDRESS`
`iam.googleapis.com/WorkspacePrincipal`	Cloud ID 또는 Google Workspace 계정의 일부인 Google 계정. 이러한 계정을 관리형 사용자 계정이라고도 부릅니다.	`user:USER_EMAIL_ADDRESS`
`iam.googleapis.com/ConsumerGroup`	일반 Google 계정으로 생성된 Google 그룹. 이러한 그룹은 Cloud ID 또는 Google Workspace 계정의 소유가 아닙니다. 이러한 그룹의 이메일 주소는 일반적으로 `googlegroups.com`으로 끝납니다.	`group:GROUP_EMAIL_ADDRESS`
`iam.googleapis.com/WorkspaceGroup`	Cloud ID 또는 Google Workspace 계정이 소유하는 Google 그룹.	`group:GROUP_EMAIL_ADDRESS`
`iam.googleapis.com/Domain`	Cloud ID 또는 Google Workspace 계정.	`domain:DOMAIN`
`iam.googleapis.com/WorkforcePoolPrincipal`	직원 ID 풀의 단일 주 구성원.	`principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE`
`iam.googleapis.com/WorkforcePoolPrincipalSet`	직원 ID 풀의 ID 집합을 포함하는 주 구성원 집합. 예를 들어 직원 ID 풀의 모든 주 구성원을 포함하는 주 구성원 집합입니다.	`principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID` `principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE` `principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*`
`iam.googleapis.com/WorkloadPoolPrincipal`	워크로드 아이덴티티 풀의 단일 ID	`principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE`
`iam.googleapis.com/WorkloadPoolPrincipalSet`	워크로드 아이덴티티 풀의 ID 집합을 포함하는 주 구성원 집합. 예를 들어 워크로드 아이덴티티 풀의 모든 주 구성원을 포함하는 주 구성원 집합입니다.	`principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID` `principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE` `principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*`
`iam.googleapis.com/ServiceAccount`	모든 서비스 계정. 서비스 계정은 사람 사용자가 아닌 워크로드를 나타내는 특수한 유형의 계정입니다. `MemberTypeMatches` 함수의 맥락에서 이 주 구성원 유형에 서비스 에이전트는 포함되지 않습니다.	`serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS`
`iam.googleapis.com/ServiceAgent`	모든 서비스 에이전트. 서비스 에이전트는 Google Cloud 가 만들고 관리하는 특수한 유형의 서비스 계정입니다. 프로젝트에서 역할이 부여된 경우 서비스 에이전트는 Google Cloud 서비스가 사용자 대신 자동으로 작업을 수행하도록 할 수 있습니다.	`serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS`
`iam.googleapis.com/PublicPrincipals`	`allUsers` 및 `allAuthenticatedUsers` 주 구성원.	`allUsers` `allAuthenticatedUsers`
`iam.googleapis.com/ProjectRoleReference`	부여된 역할에 따라 정의되는 주 구성원. 이러한 사용자를 단축값이라고도 부릅니다.	`projectOwner:PROJECT_ID` `projectEditor:PROJECT_ID` `projectViewer:PROJECT_ID`
`iam.googleapis.com/ResourcePrincipal`	기본 제공 ID가 있는 리소스.	단일 리소스의 주 구성원 식별자에 나열된 모든 주 구성원 식별자.
`iam.googleapis.com/ResourcePrincipalSet`	유형 또는 상위 요소와 같은 특정 특성을 공유하는 기본 제공 ID를 포함하는 리소스.	리소스 집합의 주 구성원 식별자에 나열된 모든 식별자.

다음 단계

조직 정책 서비스 자세히 알아보기
조직 정책을 만들고 관리하는 방법 자세히 알아보기
사전 정의된 조직 정책 제약조건의 전체 목록 참조하기