조직 정책 제약 조건

이 페이지에서는 Cloud NAT에 구성할 수 있는 조직 정책 제약 조건에 대한 정보를 제공합니다.

네트워크 관리자는 Cloud NAT 구성을 만들고 게이트웨이를 사용할 수 있는 서브네트워크(서브넷)를 지정할 수 있습니다. 기본적으로 관리자가 만드는 서브넷이나 Cloud NAT 구성을 사용할 수 있는 서브넷에는 제한이 없습니다.

조직 정책 관리자(roles/orgpolicy.policyAdmin)는 constraints/compute.restrictCloudNATUsage 제약 조건을 사용하여 Cloud NAT를 사용할 수 있는 서브넷을 제한할 수 있습니다.

조직 정책에 조직 제약 조건을 만들고 적용합니다.

기본 요건

IAM 권한

  • 제약 조건을 만드는 사용자에게는 roles/orgpolicy.policyAdmin 역할이 있어야 합니다.
  • 공유 VPC를 사용하는 경우 사용자 역할은 호스트 프로젝트에 있어야 합니다.

조직 정책 배경

이전에 조직 정책 제약 조건을 사용한 적이 없으면 먼저 다음 문서를 검토합니다.

제약 조건 계획

리소스 계층 구조의 다음 수준에서 allow 또는 deny 제약 조건을 만들 수 있습니다.

  • 조직
  • 폴더
  • 프로젝트
  • 서브네트워크

기본적으로 노드에서 생성된 제약 조건은 모든 하위 노드로 상속됩니다. 하지만 지정된 폴더의 조직 정책 관리자는 지정된 폴더가 상위 폴더에서 상속되는지 여부를 결정할 수 있으므로 상속은 자동으로 수행되지 않습니다. 자세한 내용은 계층 구조 평가 이해상속을 참조하세요.

제약 조건은 소급 적용되지 않습니다. 기존 구성은 제약 조건을 위반하더라도 계속 작동합니다.

제약 조건은 allowdeny 설정으로 구성됩니다.

허용된 값 및 거부된 값 간의 상호작용

  • restrictCloudNatUsage 제약 조건이 구성되었지만 allowedValues 또는 deniedValues가 지정되지 않으면 모든 항목이 허용됩니다.
  • allowedValues가 구성되고 deniedValues가 구성되지 않은 경우에는 allowedValues에 지정되지 않은 모든 항목이 거부됩니다.
  • deniedValues가 구성되고 allowedValues가 구성되지 않은 경우에는 deniedValues에 지정되지 않은 모든 항목이 허용됩니다.
  • allowedValuesdeniedValues가 모두 구성된 경우에는 allowedValues에 지정되지 않은 모든 항목이 거부됩니다.
  • 두 값이 충돌하면 deniedValues가 우선 적용됩니다.

서브넷 및 게이트웨이 간의 상호작용

제약 조건은 서브넷에서 NAT 게이트웨이를 사용하지 못하게 하지 않습니다. 대신 제약 조건은 게이트웨이나 서브넷 생성을 방지하여 제약 조건을 위반하는 구성을 방지합니다.

예시 1: deny 규칙을 위반하는 서브넷을 만들려고 함

  1. 게이트웨이가 리전에 있습니다.
  2. 게이트웨이는 리전의 모든 서브넷에서 게이트웨이를 사용할 수 있도록 구성됩니다.
  3. 리전에 단일 서브넷(subnet-1)이 있습니다.
  4. subnet-1만 게이트웨이를 사용할 수 있도록 제약 조건이 생성됩니다.
  5. 관리자는 해당 리전의 네트워크에서 서브넷을 추가로 만들 수 없습니다. 이 제약 조건은 게이트웨이를 사용할 수 있는 서브넷 생성을 방지합니다. 새 서브넷이 있어야 하는 경우 조직 정책 관리자는 허용되는 서브넷 목록에 이러한 서브넷을 추가할 수 있습니다.

예시 2: deny 규칙을 위반하는 게이트웨이를 만들려고 함

  1. 서브넷 2개(subnet-1subnet-2)가 리전 하나에 있습니다.
  2. subnet-1만 게이트웨이를 사용하도록 허용하는 제약 조건이 있습니다.
  3. 관리자는 리전의 모든 서브넷에 열려 있는 게이트웨이를 만들 수 없습니다. 대신 subnet-1만 제공하는 게이트웨이를 만들어야 하거나 조직 정책 관리자가 subnet-2를 허용된 서브넷 목록에 추가해야 합니다.

제약 조건 만들기

특정 제약 조건이 있는 조직 정책을 만들려면 제약 조건 사용을 참조하세요.

다음 단계