이 페이지에서는 PostgreSQL용 AlloyDB 클러스터 및 백업에 사전 정의된 조직 정책을 추가하여 프로젝트, 폴더 또는 조직 수준에서 AlloyDB에 제한사항을 적용하는 방법을 설명합니다.
고객 관리 암호화 키(CMEK) 조직 정책
CMEK 조직 정책을 사용하여 AlloyDB 클러스터 및 백업의 CMEK 설정을 제어할 수 있습니다. 이 정책을 사용하면 데이터를 보호하는 데 사용하는 Cloud KMS 키를 제어할 수 있습니다.
AlloyDB는 조직 전체에서 CMEK 보호를 보장하는 두 가지 조직 정책 제약조건을 지원합니다.
constraints/gcp.restrictNonCmekServices:alloydb.googleapis.com에 CMEK 보호가 필요합니다. 이 제약조건을 추가하고alloydb.googleapis.com을 서비스의Deny정책 목록에 추가하면 CMEK로 사용 설정되지 않은 한 AlloyDB에서 새 클러스터 또는 백업 만들기가 거부됩니다.constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB 클러스터 및 백업에서 CMEK 보호에 사용할 수 있는 Cloud KMS CryptoKey를 제한합니다. 이 제약조건을 사용할 경우 AlloyDB가 CMEK로 새 클러스터 또는 백업을 만들 때 CryptoKey가 허용된 프로젝트, 폴더, 조직에서 시작되어야 합니다.
이러한 제약 조건은 새로 만든 AlloyDB 클러스터 및 백업에만 적용됩니다.
자세한 개요 정보는 CMEK 조직 정책을 참조하세요. CMEK 조직 정책 제약조건에 대한 자세한 내용은 조직 정책 제약조건을 참조하세요.
시작하기 전에
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.
-
gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.
-
gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.
gcloud init - IAM 및 관리자 페이지에서 사용자 또는 서비스 계정에 조직 정책 관리자 역할(
roles/orgpolicy.policyAdmin)을 추가합니다. 조직 정책 페이지로 이동합니다.
Google Cloud 콘솔 메뉴 바에서 드롭다운을 클릭한 다음 조직 정책이 필요한 프로젝트, 폴더 또는 조직을 선택합니다. 조직 정책 페이지에 사용 가능한 조직 정책 제약조건의 목록이 표시됩니다.
constraints/gcp.restrictNonCmekServices를 설정하려면 다음 단계를 따르세요.ID:constraints/gcp.restrictNonCmekServices또는Name:Restrict which services may create resources without CMEK를 사용하여 제약조건을 필터링합니다.- 제약조건 이름을 클릭합니다.
- 수정을 클릭합니다.
- 맞춤설정을 클릭합니다.
- 규칙 추가를 클릭합니다.
- 정책 값에서 커스텀을 클릭합니다.
- 정책 유형에서 거부를 선택합니다.
- 커스텀 값 아래에
alloydb.googleapis.com을 입력합니다. 이렇게 하면 AlloyDB 클러스터와 백업을 만드는 동안 CMEK가 적용됩니다.
constraints/gcp.restrictCmekCryptoKeyProjects를 설정하려면 다음 단계를 따르세요.- 제약조건
ID:constraints/gcp.restrictCmekCryptoKeyProjects또는Name:Restrict which projects may supply KMS CryptoKeys for CMEK로 필터링합니다. - 제약조건 이름을 클릭합니다.
- 수정을 클릭합니다.
- 맞춤설정을 클릭합니다.
- 규칙 추가를 클릭합니다.
- 정책 값에서 커스텀을 클릭합니다.
- 정책 유형에서 허용을 선택합니다.
커스텀 값 아래에
under:organizations/ORGANIZATION_ID,under:folders/FOLDER_ID,projects/PROJECT_ID형식을 사용하여 리소스를 입력합니다.이렇게 하면 AlloyDB 클러스터와 백업에서 허용된 프로젝트, 폴더 또는 조직의 Cloud KMS 키만 사용됩니다.
- 제약조건
완료를 클릭한 다음 저장을 클릭합니다.
- PostgreSQL용 AlloyDB의 고객 관리 암호화 키(CMEK)에 대해 자세히 알아보기
- 조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개 참조하기
- 조직 정책 만들기 및 관리 방법 자세히 알아보기
- 사전 정의된 조직 정책 제약조건의 전체 목록 참조하기
- 공개 IP를 사용한 연결
- 기본 인스턴스 만들기
CMEK 조직 정책 추가
CMEK 조직 정책을 추가하려면 다음 단계를 따르세요.