Resource Manager를 사용하여 조직 정책 시행

이 가이드에서는 리소스 위치 제약조건을 포함하는 조직 정책을 설정하는 방법과 적용 후 Google Cloud 콘솔에서 해당 제약 조건을 테스트하는 방법을 설명합니다.

시작하기 전에

필요한 역할

Compute Engine 디스크를 만들 수 있는 위치를 제한하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

API 사용 설정

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

프로젝트 만들기

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

Compute Engine 디스크 만들기

리소스 위치 제약조건의 기능을 테스트하려면 Compute Engine 리전 영구 디스크를 설정합니다. 리전 영구 디스크를 만들 때 디스크가 상주할 위치를 지정해야 합니다. Compute Engine 리전 영구 디스크 만들기에 대한 자세한 내용은 리전 디스크 만들기 및 관리를 참고하세요.

  1. Google Cloud 콘솔에서 디스크 페이지로 이동합니다.

    디스크로 이동

  2. 만든 프로젝트를 선택합니다.

    1. 결제 계정을 프로젝트에 연결하라는 메시지가 표시되면 연결합니다. 결제 사용 설정에 대한 자세한 내용은 프로젝트에 결제 사용 설정을 참고하세요.

  3. 디스크 만들기를 클릭합니다.

  4. 디스크 이름을 지정합니다.

  5. 위치에 대해 리전을 선택합니다.

  6. 리전으로 europe-north1 (Finland)을 선택합니다.

  7. 영역으로 europe-north1-a를 선택합니다.

  8. 동일한 리전에서 복제본 영역을 선택합니다.

  9. 만들기를 클릭합니다.

디스크가 생성되면 이름 옆에 녹색 체크표시가 나타납니다.

조직 정책 설정

만든 프로젝트에서 조직 정책을 설정하는 방법은 다음과 같습니다.

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 선택을 클릭합니다.

  3. 만든 프로젝트를 선택합니다.

  4. Google Cloud Platform - 리소스 위치 제한을 클릭한 다음 정책 관리를 클릭합니다.

  5. 정책 소스에서 상위 정책 재정의를 선택합니다.

  6. 정책 시행에서 교체를 선택합니다.

  7. 규칙 추가를 클릭합니다.

  8. 정책 값에서 커스텀을 선택합니다.

  9. 정책 유형에서 허용을 선택합니다.

  10. 커스텀 값 상자에 in:asia-locations을 입력합니다.

  11. 완료를 클릭한 다음 정책 설정을 클릭합니다. 정책 업데이트를 확인하는 알림이 표시됩니다.

asia-locations는 특정 리전의 모든 위치를 포함하도록 Google에서 선별하는 값 그룹입니다. 이 경우 아시아의 모든 리전은 이 시점 이후 만들어지는 모든 리소스의 허용 위치로 정의됩니다. 정책이 소급 적용되지 않으므로 만든 리전 영구 디스크는 이 새 정책의 영향을 받지 않습니다.

조직 정책 테스트

조직 정책이 적용되므로 조직 정책의 일부로 지정되지 않은 리전에서는 리소스를 만들 수 없습니다. 이를 테스트하려면 잘못된 위치에 리전 영구 디스크를 만들어 보세요.

  1. Google Cloud 콘솔에서 디스크 페이지로 이동합니다.

    디스크로 이동

  2. 만든 프로젝트를 선택합니다.

  3. 디스크 만들기를 클릭합니다.

  4. 디스크 이름을 지정합니다.

  5. 위치에 대해 리전을 선택합니다.

  6. 리전으로 europe-north1 (Finland)을 선택합니다.

  7. 영역으로 europe-north1-a를 선택합니다.

  8. 동일한 리전에서 복제본 영역을 선택합니다.

  9. 만들기를 클릭합니다.

이름 옆에 빨간색 느낌표가 나타나고 오류 알림이 표시됩니다.

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

여기서 RESOURCE_ID는 프로젝트와 디스크의 전체 리소스 경로입니다. 디스크는 생성되지 않습니다.

올바른 위치에 리전 영구 디스크 만들기

올바른 위치를 지정하지 않으면 조직 정책 제약조건이 리소스 생성을 차단합니다.

  1. Google Cloud 콘솔에서 디스크 페이지로 이동합니다.

    디스크로 이동

  2. 만든 프로젝트를 선택합니다.

  3. 디스크 만들기를 클릭합니다.

  4. 디스크 이름을 지정합니다.

  5. 위치에 대해 리전을 선택합니다.

  6. 리전으로 asia-east2 (Hong Kong)을 선택합니다.

  7. 영역으로 asia-east2-a를 선택합니다.

  8. 동일한 리전에서 복제본 영역을 선택합니다.

  9. 만들기를 클릭합니다.

asia-east2 아래의 모든 영역이 asia-locations 값 그룹 내에 있으므로 리소스가 생성됩니다.

삭제

이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 다음 단계를 수행합니다.

리전 영구 디스크 삭제

이 빠른 시작에서 만든 리전 영구 디스크를 삭제합니다.

  1. Google Cloud 콘솔에서 디스크 페이지로 이동합니다.

    디스크로 이동

  2. 목록이 표시되면 만든 디스크 2개를 모두 선택합니다.

  3. 삭제를 클릭합니다.

  4. 확인 대화상자가 나타나면 삭제를 클릭합니다.

디스크가 삭제되었음을 확인하는 알림 대화상자가 나타납니다.

프로젝트 삭제

이 빠른 시작에서 만든 프로젝트를 삭제합니다.

  1. Google Cloud 콘솔에서 리소스 관리 페이지로 이동합니다.

    리소스 관리로 이동

  2. 표시되는 리소스 목록에서 생성한 프로젝트를 선택한 다음 삭제를 클릭합니다.

  3. 프로젝트 종료 대화상자가 나타나면 프로젝트 ID를 입력한 다음 무시하고 종료를 클릭합니다.

다음 단계