AlloyDB 조직 정책 개요

이 페이지에서는 조직 관리자가 사용자가 조직에서 클러스터와 백업을 구성하는 방법에 대한 제한사항을 설정하는 데 사용하는 PostgreSQL용 AlloyDB 조직 정책을 설명합니다.

프로젝트, 폴더, 조직은 상위-하위 리소스 계층 구조로 구성된 컨테이너 리소스입니다. 조직은 해당 계층 구조의 루트 노드입니다. 자세한 내용은 리소스 계층 구조를 참조하세요.

조직 정책에는 조직 관리자가 프로젝트, 폴더 또는 조직에 적용하는 제약 조건이라고 하는 규칙이 포함됩니다. 제약 조건은 모든 클러스터와 백업에 정책을 적용합니다. 예를 들어 조직 정책이 있는 항목에 클러스터나 백업을 만들려고 하면 클러스터 또는 백업 구성이 제약 조건 요구사항을 준수하는지 확인하기 위해 제약 조건 검사가 실행됩니다. 검사가 실패하면 AlloyDB는 클러스터나 백업 리소스를 만들지 않습니다.

조직 정책을 사용하는 조직이나 폴더에 프로젝트를 추가하면 프로젝트에서 해당 정책의 제약 조건을 상속합니다.

조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개, 제약 조건, 계층 구조 평가 이해를 참조하세요.

다음 조직 정책은 AlloyDB에만 적용됩니다.

사전 정의된 조직 정책

시작하려면 AlloyDB 클러스터 및 백업의 고객 관리 암호화 키(CMEK) 설정을 사용하면 됩니다. 자세한 내용은 사전 정의된 조직 정책 사용을 참조하세요. 지원되는 다른 설정을 세부적으로 맞춤설정 가능하게 제어하려면 커스텀 제약 조건을 사용합니다. 자세한 내용은 커스텀 조직 정책 사용을 참조하세요.

고객 관리 암호화 키(CMEK) 조직 정책

AlloyDB는 다음 조직 정책 제약 조건을 지원합니다.

  • constraints/gcp.restrictNonCmekServices: alloydb.googleapis.com API에 CMEK 보호가 필요합니다. 이 제약 조건과 alloydb.googleapis.com을 서비스의 Deny 정책 목록에 추가하면 새 클러스터나 백업 리소스가 CMEK로 사용 설정되지 않은 한 AlloyDB에서 새 클러스터 또는 백업 리소스를 만들지 않습니다.
  • constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB 클러스터 및 백업에서 CMEK 보호에 사용할 수 있는 Cloud KMS CryptoKey를 제한합니다. AlloyDB에서 CMEK 및 이 제약 조건을 사용하여 새 클러스터나 백업을 만들 때 CryptoKey가 허용된 프로젝트, 폴더, 조직에서 시작되어야 합니다.

이러한 제약 조건은 조직 전체에서 CMEK 보호를 보장하는 데 도움이 되며 새로 만든 AlloyDB 클러스터와 백업에만 적용됩니다. 자세한 내용은 CMEK 조직 정책조직 정책 제약 조건을 참조하세요.

커스텀 조직 정책

설정을 세부적으로 맞춤설정 가능하게 제어하려면 커스텀 제약 조건을 만들고 커스텀 조직 정책에서 이 커스텀 제약 조건을 사용하면 됩니다. 커스텀 조직 정책을 사용하여 보안, 규정 준수, 거버넌스를 향상시킬 수 있습니다.

커스텀 조직 정책을 만드는 방법은 커스텀 조직 정책 추가를 참조하세요. 지원되는 커스텀 제약 조건 및 작업 목록을 볼 수도 있습니다.

조직 정책 적용 규칙

AlloyDB는 다음 작업에 조직 정책을 적용합니다.

  • 인스턴스 생성
  • 인스턴스 업데이트
  • 클러스터 만들기
  • 백업 만들기

모든 조직 정책 제약 조건과 마찬가지로 정책 변경사항은 기존 클러스터와 백업에 소급 적용되지 않습니다. 예시는 다음과 같습니다.

  • 새 정책은 기존 인스턴스, 클러스터 또는 백업에 영향을 미치지 않습니다.
  • 사용자가 Google Cloud 콘솔, gcloud CLI 또는 RPC를 사용하여 인스턴스, 클러스터 또는 백업 구성을 규정 준수 상태에서 규정 미준수 상태로 변경하지 않는 한 기존 인스턴스, 클러스터 또는 백업 구성이 유효한 상태로 유지됩니다.
  • 유지보수는 인스턴스, 클러스터 또는 백업의 구성을 변경하지 않으므로 예약된 유지보수 업데이트로 인해 정책이 적용되지 않습니다.

다음 단계