신규 고객인 경우 Google Cloud 다음 시나리오에서 도메인의 조직 리소스를 자동으로 프로비저닝합니다.
- 도메인의 사용자가 처음으로 로그인하는 경우
- 사용자가 조직 리소스가 연결되지 않은 결제 계정을 만드는 경우
무제한 액세스가 특징인 이 조직 리소스의 기본 구성으로 인해 인프라가 보안 침해에 노출될 가능성이 있습니다. 예를 들어 기본 서비스 계정 키 생성은 시스템을 잠재적 침해에 노출시키는 심각한 취약점입니다.
Google Cloud 보안 기준은 조직 리소스가 생성될 때 적용되는 조직 정책 번들로 취약한 보안 상태를 해결합니다. 자세한 내용은 조직 리소스 가져오기를 참고하세요. 이러한 조직 정책의 예로는 서비스 계정 키 생성 사용 중지와 서비스 계정 키 업로드 사용 중지가 있습니다.
기존 사용자가 조직을 만들면 새 조직 리소스의 보안 상황은 기존 조직 리소스와 다를 수 있습니다. Google Cloud 보안 기준 제약 조건은 2024년 5월 3일 이후에 생성된 모든 조직에 적용됩니다. 2024년 2월과 2024년 4월 사이에 생성된 일부 조직에도 이러한 기본 정책 적용이 설정되어 있을 수 있습니다. 조직에 적용된 조직 정책을 보려면 조직 정책 보기를 참고하세요.
시작하기 전에
조직 정책 및 제약 조건의 정의 및 작동 방식에 대한 자세한 내용은 조직 정책 서비스 소개를 참고하세요.
필요한 역할
조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 조직 정책을 관리하는 데 필요한 권한이 포함되어 있습니다. 필수 권한 섹션을 펼치면 필요한 권한을 정확하게 확인할 수 있습니다.
필수 권한
조직 정책을 관리하려면 다음 권한이 필요합니다.
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
조직 정책 관리자 역할 바인딩에 IAM 조건을 추가하여 조직 정책 관리를 위임할 수 있습니다. 주 구성원이 조직 정책을 관리할 수 있는 리소스를 제어하려면 특정 태그에 따라 역할 바인딩을 조건부로 설정하면 됩니다. 자세한 내용은 제약 조건 사용을 참고하세요.
조직 리소스에 적용되는 조직 정책
다음 표에는 조직 리소스를 만들 때 자동으로 적용되는 조직 정책 제약조건이 나와 있습니다.
| 조직 정책 이름 | 조직 정책 제약조건 | 설명 | 적용 영향 |
|---|---|---|---|
| 서비스 계정 키 생성 사용 중지 | constraints/iam.managed.disableServiceAccountKeyCreation |
사용자가 서비스 계정에 영구 키를 만들지 못하도록 합니다. 서비스 계정 키 관리 방법에 대한 자세한 내용은 서비스 계정 키 만들기에 대한 대안 제공을 참조하세요. | 노출된 서비스 계정 사용자 인증 정보 위험을 줄입니다. |
| 서비스 계정 키 업로드 사용 중지 | constraints/iam.managed.disableServiceAccountKeyUpload |
서비스 계정에 외부 공개 키를 업로드하지 못하게 합니다. 서비스 계정 키 없이 리소스에 액세스하는 방법에 대한 자세한 내용은 권장사항을 참조하세요. | 노출된 서비스 계정 사용자 인증 정보 위험을 줄입니다. |
| 기본 서비스 계정에 편집자 역할이 부여되지 않도록 방지 | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
기본 서비스 계정이 생성 시 과도한 권한이 부여된 IAM 편집자 역할을 받지 못하도록 합니다. | 편집자 역할은 서비스 계정에서 대부분의 Google Cloud 서비스에 대한 리소스를 만들고 삭제할 수 있도록 허용하므로 서비스 계정이 도용되면 취약점이 발생합니다. |
| 도메인별 ID 제한 | constraints/iam.allowedPolicyMemberDomains |
특정 조직 리소스 또는 Google Workspace 고객 ID에 속하는 ID로 리소스 공유를 제한합니다. | 고객 자체 도메인이 아닌 도메인을 사용하는 행위자가 조직 리소스에 액세스할 수 있도록 허용하면 취약점이 발생합니다. |
| 도메인별 연락처 제한 | constraints/essentialcontacts.managed.allowedContactDomains |
선택한 도메인의 관리 사용자 ID만 플랫폼 알림을 수신하도록 필수 연락처를 제한합니다. | 다른 도메인의 악의적인 행위자가 필수 연락처로 추가되면 보안 상황이 손상될 수 있습니다. |
| IP 주소 유형에 따라 프로토콜 전달 제한 | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
내부 IP 주소에 대해서만 프로토콜 전달 구성을 제한합니다. | 대상 인스턴스를 외부 트래픽 노출로부터 보호합니다. |
| 균일한 버킷 수준 액세스 | constraints/storage.uniformBucketLevelAccess |
Cloud Storage 버킷이 객체별 ACL (허용 및 거부 정책과 별도의 시스템)을 사용하여 액세스 권한을 제공하지 않도록 합니다. | 액세스 관리 및 감사 일관성을 적용합니다. |
조직 정책 적용 관리
다음과 같은 방법으로 조직 정책 적용을 관리할 수 있습니다.
조직 정책 나열
Google Cloud 보안 기준 제약 조건이 조직에 적용되는지 확인하려면 다음 명령어를 사용합니다.
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직의 고유 식별자로 바꿉니다.
조직 정책 사용 중지
조직 정책을 사용 중지하거나 삭제하려면 다음 명령어를 실행합니다.
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
다음을 바꿉니다.
CONSTRAINT_NAME: 삭제할 조직 정책 제약 조건의 이름입니다(예:iam.allowedPolicyMemberDomains).ORGANIZATION_ID: 조직의 고유 식별자
다음 단계
조직 정책을 만들고 관리하는 방법에 대한 자세한 내용은 제약 조건 사용을 참고하세요.