커스텀 조직 정책 사용

Google Cloud 조직 정책을 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Google Cloud 리소스 계층 구조에서 Google Cloud 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 또한, 조직, 폴더, 프로젝트 수준에서 조직 정책을 시행하는 것이 가능합니다.

조직 정책은 다양한 Google Cloud 서비스에 대한 사전 정의된 제약조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 더욱 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 조직 정책도 만들면 됩니다.

이점

IAM 속성을 참조하는 커스텀 조직 정책을 사용하여 허용 정책을 수정하는 방법을 제어할 수 있습니다. 구체적으로 다음을 제어할 수 있습니다.

• 역할이 부여될 수 있는 사용자
• 역할이 취소될 수 있는 사용자
• 부여될 수 있는 역할
• 취소될 수 있는 역할

예를 들어 이메일 주소가 @gmail.com으로 끝나는 주 구성원에게 admin 단어가 포함된 역할이 부여되지 않도록 할 수 있습니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

가격 책정

사전 정의된 조직 정책과 커스텀 조직 정책을 포함한 조직 정책 서비스는 무료로 제공됩니다.

제한사항

IAM 속성을 참조하는 테스트 실행 모드의 커스텀 조직 정책에는 일부 제한이 적용됩니다. 즉, setiamPolicy 메서드와 관련된 위반 사항에 대한 감사 로그에 다음 필드가 누락될 수 있습니다.

• resourceName
• serviceName
• methodName

시작하기 전에

• 조직 ID를 알고 있어야 합니다.

• IAM 리소스를 참조하는 커스텀 조직 정책을 테스트하려면 새 프로젝트를 만듭니다. 기존 프로젝트에서 조직 정책을 테스트하면 보안 워크플로가 중단될 수 있습니다.

  1. In the Google Cloud console, go to the project selector page.

     Go to project selector

  2. Select or create a Google Cloud project.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 다음의 IAM 역할을 부여해 달라고 요청합니다.

• 조직에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin)
• 프로젝트의 IAM 정책 수정: 프로젝트에 대한 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 조직 정책 관리에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

커스텀 제약조건 만들기

커스텀 제약조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 사용하여 YAML 파일에서 정의됩니다. 커스텀 제약조건의 조건은 Common Expression Language(CEL)를 사용하여 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.

커스텀 제약조건에 대해 YAML 파일을 만들려면 다음 안내를 따르세요.

name: organizations/ORG_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  METHOD_TYPE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

• ORG_ID: 조직 ID(예: 123456789)

• CONSTRAINT_NAME: 새 커스텀 제약조건에 사용하려는 이름입니다. 커스텀 제약조건은 custom.으로 시작해야 하며 대문자, 소문자 또는 숫자만 포함할 수 있습니다(예: custom.denyProjectIAMAdmin). 이 필드의 최대 길이는 프리픽스를 제외하고 70자입니다(예: organizations/123456789/customConstraints/custom).

• METHOD_TYPE: 제약 조건을 적용하려는 작업 유형입니다. 다른 사람이 주 구성원에 역할을 부여하려고 시도할 때 제약 조건을 적용하려면 다음 값을 사용합니다.

  - CREATE
  - UPDATE
  

  다른 사람이 주 구성원의 역할을 취소하려고 시도할 때 제약 조건을 적용하려면 다음 값을 사용합니다.

  - REMOVE_GRANT
  

• CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건입니다. 이 필드의 최대 길이는 1,000자(영문 기준)입니다. 조건을 만드는 데 사용할 수 있는 속성에 대한 자세한 내용은 지원되는 속성을 참조하세요. 예를 들면 resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']))입니다.

• ACTION: condition이 충족될 때 수행할 작업입니다. ALLOW 또는 DENY일 수 있습니다.

• DISPLAY_NAME: 제약조건에 대한 사용자 친화적인 이름. 이 필드의 최대 길이는 200자(영문 기준)입니다.

• DESCRIPTION: 선택사항입니다. 정책을 위반할 때 오류 메시지로 표시할 제약조건에 대한 사용자 친화적인 설명입니다. 이 필드의 최대 길이는 2,000자(영문 기준)입니다.

커스텀 제약조건을 만드는 방법에 대한 자세한 내용은 커스텀 제약조건 정의를 참조하세요.

커스텀 제약조건 설정

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

커스텀 조직 정책 적용

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true
    

    gcloud org-policies set-policy POLICY_PATH
    

커스텀 조직 정책 테스트

선택적으로 정책을 설정하고 정책으로 방지할 작업 수행을 시도하여 조직 정책을 테스트할 수 있습니다.

이 섹션에서는 다음과 같은 조직 정책 제약 조건을 테스트하는 방법을 설명합니다.

name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

이 커스텀 제약 조건을 테스트하려면 다음을 수행합니다.

• 제약 조건을 YAML 파일에 복사하고 다음 값을 바꿉니다.

  • ORG_ID: Google Cloud 조직의 숫자 ID입니다.
  • MEMBER_EMAIL_ADDRESS: 커스텀 제약 조건을 테스트하는 데 사용하려는 주 구성원의 이메일 주소입니다. 이 제약 조건이 활성화된 상태에서는 제약 조건을 적용하려는 프로젝트에 대한 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 이 주 구성원에 부여할 수 없습니다.

• 커스텀 제약 조건을 설정하고 커스텀 조직 정책 제약 조건을 테스트하기 위해 만든 프로젝트에 대해 적용합니다.

• 커스텀 제약 조건에 포함한 이메일 주소에 해당하는 주 구성원에 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)을 부여합니다. 명령어를 실행하기 전에 다음 값을 바꿉니다.

  • PROJECT_ID: 제약 조건을 적용한 Google Cloud 프로젝트의 ID입니다.
  • EMAIL_ADDRESS: 조직 정책 제약 조건을 만들 때 지정한 주 구성원의 이메일 주소입니다.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

출력은 다음과 같습니다.

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Identity and Access Management 지원 속성

IAM은 resources.bindings 속성을 지원합니다. 이 속성은 리소스의 허용 정책을 수정하는 모든 메서드에 대해 반환됩니다. 이러한 메서드는 모두 setIamPolicy로 끝납니다.

resource.bindings 속성의 구조는 다음과 같습니다. 여기서 BINDINGS는 허용 정책을 변경할 때 수정된 역할 바인딩의 배열입니다.

{
  "bindings": {
    BINDINGS
  }
}

resource.bindings의 각 바인딩의 구조는 다음과 같습니다. 여기서 ROLE은 역할 바인딩에서 역할의 이름이고 MEMBERS는 역할 바인딩에 대해 추가되었거나 삭제된 주 구성원의 식별자 목록입니다.

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

주 구성원 식별자에 지정할 수 있는 형식을 보려면 주 구성원 식별자를 참조하세요.

지원되는 함수를 사용해서만 resource.bindings 속성과 해당 값을 평가할 수 있습니다. ==, !=, in, contains, startsWith, endsWith와 같은 다른 연산자 및 함수는 지원되지 않습니다.

지원되는 함수

다음 CEL 함수를 사용하여 binding 리소스의 role 및 members 필드를 평가할 수 있습니다. 이러한 함수를 사용할 때는 또한 논리 연산자 &&(and) 및 ||(or)를 사용하여 여러 부분으로 구성된 조건을 만들 수 있습니다.

일반적인 사용 사례의 커스텀 조직 정책 예시

다음 표에서는 유용한 몇 가지 커스텀 조직 정책 문법을 제공합니다.

다음 예시에서는 CEL 매크로 all 및 exists를 사용합니다. 이러한 매크로에 대한 자세한 내용은 매크로를 참조하세요.

name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted

name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked

name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT

name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2

name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles

name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP

name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers

다음 단계

• 조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개 참조하기
• 조직 정책 만들기 및 관리 방법 자세히 알아보기
• 사전 정의된 조직 정책 제약조건의 전체 목록 참조하기