이 페이지에서는 Cloud Key Management Service에 제한사항을 적용할 수 있는 조직 정책 제약조건에 대한 추가 정보를 제공합니다. 이러한 제약조건을 사용하여 전체 프로젝트 또는 조직에서 Cloud KMS 키의 리소스 위치 또는 허용되는 보호 수준을 제한할 수 있습니다.
CMEK 조직 정책을 사용하여 조직에서 CMEK 사용을 적용하고 조직 정책을 사용하여 키 파기를 제어할 수도 있습니다.
Cloud KMS 제약조건
다음 제약조건은 조직 정책에 적용할 수 있으며 Cloud Key Management Service와 관련이 있습니다.
리소스 위치 적용
API 이름: constraints/gcp.resourceLocations
resourceLocations 제약조건을 적용할 때 하나 이상의 위치를 지정합니다. 설정하고 나면 새 리소스(예: 키링, 키, 키 버전)의 생성이 지정된 위치로 제한됩니다.
제약조건이 적용되기 전에 생성되거나 가져온 다른 위치의 키는 계속 사용할 수 있습니다. 그러나 결과로 허용되지 않는 위치의 새 키 버전이 제공될 경우 키 순환(새 기본 키 버전의 자동 생성)이 실패합니다.
허용되는 보호 수준
API 이름: constraints/cloudkms.allowedProtectionLevels
allowedProtectionLevels 제약조건을 적용할 때 하나 이상의 보호 수준을 지정합니다. 설정하고 나면 새 키, 키 버전, 가져오기 작업에서 지정된 보호 수준 중 하나를 사용해야 합니다.
제약 조건이 적용되기 전에 생성된 다른 보호 수준의 키는 계속 사용할 수 있습니다. 그러나 결과로 허용되지 않는 보호 수준의 새 키 버전이 제공될 경우 키 순환(새 기본 키 버전의 자동 생성)이 실패합니다.
다음 단계
- CMEK 조직 정책 및 조직 정책을 사용하여 키 폐기를 제어하는 방법을 알아보세요.
- 조직 정책에 적용되는 리소스 계층 구조에 대해 알아보세요.
- Google Cloud 콘솔에서 제약조건 및 조직 정책 작업에 대한 안내는 조직 정책 만들기 및 관리를 참고하세요.
- gcloud CLI에서 제약조건 및 조직 정책 작업에 대한 안내는 제약조건 사용 참조하기
projects.setOrgPolicy와 같은 관련 API 메서드에 대해서는 Resource Manager API 참조 문서 확인하기