Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Compute Engine 조직 정책

조직 정책 서비스는 조직의 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있는 기능을 제공합니다. 조직 정책을 사용하여 가상 머신 (VM) 인스턴스, 디스크, 네트워크와 같은 Compute Engine 리소스가 구성되는 방식을 제한할 수 있습니다. 조직 정책에 대한 자세한 내용은 조직 정책 서비스 소개를 참고하세요.

조직, 폴더 또는 프로젝트 수준에서 정책을 설정할 수 있습니다. 하위 리소스는 정책을 상속하므로 조직 수준에서 광범위한 제어를 적용하고 폴더 또는 프로젝트 수준에서 더 구체적인 제약 조건을 적용할 수 있습니다.

이 문서에서는 조직 정책을 사용하여 Compute Engine 리소스를 관리하는 방법을 간략하게 설명합니다.

사용 사례

조직 정책을 사용하여 Compute Engine 리소스 전반에 거버넌스를 적용할 수 있습니다. 일반적인 목표는 다음과 같습니다.

비용 관리: 특정 프로젝트에서 만들 수 있는 VM 머신 유형 또는 영구 디스크 크기를 제한하여 지출을 관리합니다.
보안 상황: 모든 VM 인스턴스 액세스에 OS 로그인을 요구하거나 대화형 직렬 콘솔을 사용 중지하는 등 보안 권장사항을 적용합니다.
규정 준수: 특정 프로젝트의 VM이 하드웨어 격리를 지원하기 위해 단독 테넌트 노드에서 실행되도록 요구하는 등의 규제 요구사항을 충족합니다.

제약 조건 유형

조직 정책을 사용하면 다음과 같은 유형의 제약 조건을 적용할 수 있습니다.

관리형 제약 조건: 최신 플랫폼에서 빌드되고 compute.managed.* 접두사로 식별할 수 있는 Google 제공 사전 정의된 제약 조건입니다. 드라이런 및 정책 시뮬레이터와 같은 안전한 출시 도구와 특정 리소스에 세부적인 예외를 부여할 수 있는 태그 조건부 문을 지원합니다.
관리형 제약조건 (기존): Google에서 제공하는 사전 정의된 제약조건으로, compute.* 접두사로 식별할 수 있습니다. 기능은 하지만 일반적으로 드라이 런, 정책 시뮬레이터와 같은 최신 안전 출시 도구를 지원하지 않으며 태그 조건부 문을 지원하지 않습니다. 동등한 대안이 있는 경우 관리형 제약 조건으로 마이그레이션하여 향상된 거버넌스 및 안전한 출시 기능을 활용하는 것이 좋습니다.
맞춤 제약 조건: Common Expression Language (CEL)를 사용하여 특정 요구사항에 맞게 만드는 제약 조건입니다. 커스텀 제약 조건을 사용하면 관리 제약 조건에서 다루지 않는 특정 필드에 정책을 적용할 수 있습니다. 관리형 제약 조건과 마찬가지로 커스텀 제약 조건은 태그 조건부 문과 테스트 실행 및 정책 시뮬레이터와 같은 안전한 출시 도구를 지원합니다. Compute Engine의 커스텀 제약조건을 만들고 관리하는 방법을 자세히 알아보려면 커스텀 제약조건을 참고하세요.

Compute Engine 리소스당 20개의 제약조건 한도가 관리 제약조건과 맞춤 제약조건의 총 개수에 적용됩니다. 기존 관리 제약 조건은 이 한도에 포함되지 않습니다.

Compute Engine 제약 조건

다음 섹션에는 조직 정책에서 지원하는 Compute Engine 제약 조건이 나열되어 있습니다.

관리형 제약 조건

Compute Engine의 관리형 제약 조건은 일반적인 보안 시나리오의 거버넌스를 간소화하고 테스트 실행 및 정책 시뮬레이터와 같은 안전한 출시 도구와 통합되어 시행 전에 영향을 테스트할 수 있습니다. Compute Engine의 관리형 제약 조건 목록은 관리형 제약 조건을 참고하세요.

관리형 제약 조건 (기존)

이러한 제약 조건은 이전 세대에서 가져온 것으로 안전한 출시 도구를 지원하지 않습니다. 동등한 항목이 있는 경우 관리형 제약 조건으로 이전하는 것이 좋습니다.

기존 제약 조건

제약조건	설명
`compute.allowedDeviceEncryptionKeys`	기기 리소스를 암호화하는 데 사용할 수 있는 Cloud Key Management Service 키를 제한합니다.
`compute.disableAllIpv6`	`IPV4_IPV6` 유형의 서브넷 스택 생성 또는 업데이트를 사용 중지하지만 기존 `IPV4_IPV6` 스택 유형 서브넷에는 영향을 미치지 않습니다. 이 제약 조건이 활성화되면 기존 `IPV4_IPV6` 스택 유형 서브넷이 계속 작동합니다. 하지만 이 제약 조건이 활성화된 시점에 프로젝트에 `IPV4_IPV6` 스택 유형 서브네트워크가 있는 경우 다른 VPC 네트워크를 사용하더라도 동일한 리전에서 `IPV4_ONLY` 스택 유형 서브네트워크를 만들기 전에 이를 삭제해야 합니다.
`compute.disableGuestAttributes`	가상 머신 인스턴스 내에서 호스트 이름, IP 주소, 기타 인스턴스 관련 정보를 게시하는 데 사용할 수 있는 Compute Engine 게스트 속성을 사용 중지합니다.
`compute.disableInstanceDataAccessApis`	sshKeys, serialPortLogging, startup-/shutdown-scripts와 같은 민감한 인스턴스 메타데이터에 액세스하는 데 필요한 Compute Engine 인스턴스 메타데이터 API에 대한 액세스를 사용 중지합니다.
`compute.disableInternetNetworkEndpointGroup`	인터넷 네트워크 엔드포인트 그룹 생성을 사용 중지합니다.
`compute.disableNestedVirtualization`	`true`로 설정하면 프로젝트의 모든 Compute Engine VM에 대해 하드웨어 가속 중첩 가상화가 사용 중지됩니다.
`compute.disableSerialPortAccess`	Compute Engine VM에 대해 직렬 포트 액세스를 사용 중지합니다.
`compute.disableSerialPortLogging`	Compute Engine VM에서 Google Cloud Observability로의 직렬 포트 로깅을 사용 중지합니다.
`compute.disableVpcExternalIpv6`	이 제약 조건이 활성 상태이면 ULA 내부 IPv6 범위가 있는 VPC 네트워크를 만들거나 VPC 네트워크의 VM에 외부 IPv6 주소를 할당할 수 없습니다. 이 제약 조건은 VPC 네트워크의 내부 IPv6 주소에는 영향을 미치지 않습니다.
`compute.enableComplianceMemoryProtection`	Compute Engine 가상 머신에서 메모리 보호 기능을 사용 설정합니다.
`compute.requireConfidentialVm`	모든 새 Compute Engine VM 인스턴스에서 컨피덴셜 VM을 사용해야 합니다.
`compute.requireGuestAttributes`	가상 머신 인스턴스 내에서 호스트 이름, IP 주소, 기타 인스턴스 관련 정보를 게시하는 데 사용할 수 있는 Compute Engine 게스트 속성이 필요합니다.
`compute.requireOsLogin`	모든 새 Compute Engine VM 인스턴스에서 OS 로그인을 사용 설정해야 합니다.
`compute.requireShieldedVm`	모든 새 VM 인스턴스가 보안 VM이어야 합니다.
`compute.restrictCloudNATUsage`	Cloud NAT 사용을 지정된 VPC 네트워크로만 제한합니다.
`compute.restrictDedicatedInterconnectUsage`	Dedicated Interconnect 사용을 지정된 VPC 네트워크로만 제한합니다.
`compute.restrictLoadBalancerCreationForTypes`	허용된 유형으로만 부하 분산기 생성을 제한합니다.
`compute.restrictPartnerInterconnectUsage`	Partner Interconnect 사용을 지정된 VPC 네트워크로만 제한합니다.
`compute.restrictProtocolForwardingCreationForTypes`	프로토콜 전달 생성을 내부 또는 외부 대상 인스턴스로 제한합니다.
`compute.restrictSharedVpcHostProjects`	범위 내 프로젝트가 연결할 수 있는 호스트 프로젝트 집합을 제한합니다.
`compute.restrictSharedVpcSubnetworks`	범위 내 프로젝트가 사용할 수 있는 공유 VPC 서브네트워크의 집합을 제한합니다.
`compute.restrictVpcPeering`	허용된 VPC 네트워크로만 VPC 네트워크 피어링을 제한합니다.
`compute.restrictVpnPeerIPs`	VPN 피어 IP를 허용된 IP로만 제한합니다.
`compute.setNewProjectDefaultToZonalDnsOnly`	`true`로 설정하면 새 프로젝트는 기본적으로 영역 DNS 전용으로 설정됩니다. 이러한 프로젝트에서 생성된 VM에는 영역 DNS 이름 (`.zone.c.project-id.internal`)이 있습니다. 전역 DNS가 사용 중지된 프로젝트는 전역 DNS로 되돌릴 수 없습니다.
`compute.skipDefaultNetworkCreation`	Google Cloud 프로젝트 생성 중에 `default` VPC 네트워크 및 관련 리소스의 자동 생성을 건너뜁니다.
`compute.storageResourceUseRestrictions`	위치에 따라 Compute Engine 스토리지 리소스 (예: PD-Standard, PD-SSD, PD-Balanced, Local-SSD)의 사용을 제한합니다.
`compute.trustedImageProjects`	지정된 프로젝트의 신뢰할 수 있는 이미지로만 이미지 액세스를 제한합니다.
`compute.vmCanIpForward`	IP 전달을 사용 설정할 수 있는 VM 인스턴스를 제한합니다.
`compute.vmExternalIpAccess`	외부 IP 주소를 사용하도록 허용되는 VM 인스턴스를 제한합니다.

다음 단계

이러한 제약 조건을 적용하는 방법을 알아보려면 Resource Manager 문서의 조직 정책 만들기 및 관리를 참고하세요.
새 정책을 적용하기 전에 그 효과를 테스트하려면 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참고하세요.
커스텀 제약 조건을 만드는 방법을 알아보려면 커스텀 제약 조건을 참고하세요.
Google Cloud에서 사용할 수 있는 모든 제약 조건의 전체 목록을 보려면 조직 정책 제약 조건을 참고하세요.

Compute Engine 조직 정책 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.