이 페이지의 일부 또는 모든 정보는 S3NS의 Cloud de Confiance에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

커스텀 제약조건을 사용하여 Cloud Load Balancing 리소스 관리

이 페이지에서는 조직 정책 서비스 커스텀 제약 조건을 사용하여 다음 Cloud de Confiance by S3NS 리소스에 대한 특정 작업을 제한하는 방법을 보여줍니다.

compute.googleapis.com/BackendBucket
compute.googleapis.com/BackendService
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/NetworkEndpointGroup
networkservices.googleapis.com/ServiceLbPolicy
compute.googleapis.com/SslPolicy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetTcpProxy
compute.googleapis.com/TargetSslProxy
compute.googleapis.com/TargetHttpProxy
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetGrpcProxy
compute.googleapis.com/UrlMap

조직 정책에 대한 자세한 내용은 커스텀 조직 정책을 참조하세요.

조직 정책 및 제약조건 정보

Cloud de Confiance 조직 정책 서비스를 사용하면 조직 리소스를 중앙에서 프로그래매틱 방식으로 제어할 수 있습니다. 조직 정책 관리자는 Cloud de Confiance by S3NS 리소스 계층 구조에서Cloud de Confiance 리소스 및 이러한 리소스의 하위 요소에 적용되는 제약 조건이라는 제한사항 집합인 조직 정책을 정의할 수 있습니다. 조직, 폴더 또는 프로젝트 수준에서 조직 정책을 적용할 수 있습니다.

조직 정책은 다양한 Cloud de Confiance 서비스에 내장된 관리형 제약 조건을 제공합니다. 그러나 조직 정책에서 제한되는 특정 필드를 보다 세부적으로 맞춤설정 가능한 방식으로 제어하려면 커스텀 제약조건을 만들고 조직 정책에 이러한 커스텀 제약조건을 사용할 수 있습니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Cloud de Confiance 가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 이를 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

이점

비용 관리: 커스텀 조직 정책을 사용하여 상태 확인 프로브 빈도를 제한합니다.
보안, 규정 준수, 거버넌스: 커스텀 조직 정책을 사용하여 정책을 적용할 수 있습니다. 예를 들면 다음과 같습니다.
- 특정 상태 확인 프로토콜 또는 포트 범위 사용 강화
- 특정 백엔드 트래픽 프로토콜 금지
- 백엔드 버킷에 Cloud CDN이 사용 설정되도록 요구
- 전달 규칙이 특정 네트워크 서비스 등급을 사용하도록 요구

제한사항

기존 상태 확인(기존 전역(HTTP) 및 기존 전역(HTTPS))은 지원되지 않습니다.
Compute Engine SSL 정책 리소스의 경우 UPDATE 메서드에도 커스텀 제약조건이 적용됩니다.

시작하기 전에

In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Cloud de Confiance project.
Google Cloud CLI를 설치합니다.
gcloud CLI에서 제휴 ID를 사용하도록 구성합니다.

자세한 내용은 제휴 ID로 gcloud CLI에 로그인을 참고하세요.
gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.
```
gcloud init
```
조직 ID를 알고 있어야 합니다.

필요한 역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직 리소스에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

커스텀 제약조건 설정

커스텀 제약 조건은 조직 정책을 적용하는 서비스에서 지원되는 리소스, 메서드, 조건, 작업을 통해 YAML 파일에서 정의됩니다. 커스텀 제약 조건의 조건은 Common Expression Language(CEL)를 통해 정의됩니다. CEL을 사용해서 커스텀 제약 조건에서 조건을 빌드하는 방법은 커스텀 제약 조건 만들기 및 관리의 CEL 섹션을 참조하세요.

콘솔

커스텀 제약 조건을 만들려면 다음을 수행합니다.

Cloud de Confiance 콘솔에서 조직 정책 페이지로 이동합니다.
조직 정책으로 이동
프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
커스텀 제약조건을 클릭합니다.
표시 이름 상자에 인간이 읽을 수 있는 제약 조건 이름을 입력합니다. 이 이름은 오류 메시지에 사용되며 식별과 디버깅에 사용할 수 있습니다. 이 이름은 오류 메시지에 노출될 수 있으므로 표시 이름에 개인 식별 정보 (PII)나 민감한 정보를 사용하지 마세요. 이 필드는 최대 200자(영문 기준)까지 포함할 수 있습니다.
제약 조건 ID 상자에 새 맞춤 제약 조건에 사용하려는 ID를 입력합니다. 커스텀 제약 조건은 문자(대문자 및 소문자 포함) 또는 숫자만 포함할 수 있습니다(예: custom.enforceTCPHealthCheckPort1024). 이 필드는 프리픽스(custom.)를 제외하고 최대 70자(영문 기준)까지 포함할 수 있습니다(예: organizations/123456789/customConstraints/custom). 오류 메시지에 노출될 수 있으므로 제약 조건 ID에 개인 식별 정보나 민감한 정보를 포함하지 마세요.
설명 상자에 인간이 읽을 수 있는 제약 조건 설명을 입력합니다. 이 설명은 정책이 위반되었을 때 오류 메시지로 사용됩니다. 정책 위반이 발생한 이유와 정책 위반을 해결하는 방법에 대한 세부정보를 포함합니다. 오류 메시지에 노출될 수 있으므로 설명에 개인 식별 정보나 민감한 정보를 포함하지 마세요. 이 필드는 최대 2,000자(영문 기준)까지 포함할 수 있습니다.
리소스 유형 상자에서 제한하려는 객체와 필드가 포함된 Cloud de Confiance REST 리소스 이름을 선택합니다(예: container.googleapis.com/NodePool). 대부분의 리소스 유형은 커스텀 제약 조건을 최대 20개까지 지원합니다. 커스텀 제약 조건을 더 만들려고 하면 작업이 실패합니다.
적용 방법에서 REST CREATE 메서드에 또는 CREATE 및 UPDATE 메서드 모두에 제약 조건을 적용할지 여부를 선택합니다. 제약 조건을 위반하는 리소스에 UPDATE 메서드를 사용하여 제약 조건을 적용하면 변경사항이 위반을 해결하지 않는 한 조직 정책에 의해 해당 리소스에 대한 변경사항이 차단됩니다.

각 서비스에 지원되는 메서드를 보려면 커스텀 제약조건을 지원하는 서비스에서 서비스를 찾으세요.

조건을 정의하려면 조건 수정을 클릭합니다.

조건 추가 패널에서 지원되는 서비스 리소스를 참조하는 CEL 조건을 만듭니다(예: resource.management.autoUpgrade == false). 이 필드는 최대 1,000자(영문 기준)까지 포함할 수 있습니다. CEL 사용 방법에 대한 자세한 내용은 Common Expression Language를 참조하세요. 커스텀 제약 조건에 사용할 수 있는 서비스 리소스에 대한 자세한 내용은 커스텀 제약 조건 지원 서비스를 참조하세요.
저장을 클릭합니다.

작업에서 조건이 충족될 경우 평가된 메서드를 허용하거나 거부할지를 선택합니다.

거부 작업은 조건이 true로 평가되면 리소스를 만들거나 업데이트하는 작업이 차단됨을 의미합니다.

허용 작업은 조건이 true로 평가되는 경우에만 리소스를 만들거나 업데이트하는 작업이 허용됨을 의미합니다. 조건에 명시적으로 나열된 케이스를 제외한 다른 모든 케이스가 차단됩니다.

제약 조건 만들기를 클릭합니다.

각 필드에 값을 입력하면 이 커스텀 제약 조건에 해당하는 YAML 구성이 오른쪽에 표시됩니다.

gcloud

커스텀 제약 조건을 만들려면 다음 형식을 사용하여 YAML 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes: RESOURCE_NAME
methodTypes:
  - CREATE
  - UPDATE 
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

다음을 바꿉니다.

ORGANIZATION_ID: 조직 ID(예: 123456789)
CONSTRAINT_NAME: 새 커스텀 제약 조건에 사용할 이름. 커스텀 제약 조건은 문자(대문자 및 소문자 포함) 또는 숫자만 포함할 수 있습니다(예: custom.enforceTCPHealthCheckPort1024). 이 필드는 프리픽스(custom.)를 제외하고 최대 70자(영문 기준)까지 포함할 수 있습니다(예: organizations/123456789/customConstraints/custom). 오류 메시지에 노출될 수 있으므로 제약 조건 ID에 개인 식별 정보나 민감한 정보를 포함하지 마세요.
RESOURCE_NAME: 제한하려는 객체와 필드가 포함된 Cloud de Confiance리소스의 정규화된 이름. 예를 들면 compute.googleapis.com/HealthCheck입니다. 대부분의 리소스 유형은 커스텀 제약 조건을 최대 20개까지 지원합니다. 커스텀 제약 조건을 더 만들려고 하면 작업이 실패합니다.
methodTypes: 제약 조건이 적용되는 REST 메서드입니다. CREATE 또는 CREATE와 UPDATE 모두일 수 있습니다. 제약 조건을 위반하는 리소스에 UPDATE 메서드를 사용하여 제약 조건을 적용하면 변경사항이 위반을 해결하지 않는 한 조직 정책에 의해 해당 리소스에 대한 변경사항이 차단됩니다.

각 서비스에 지원되는 메서드를 보려면 커스텀 제약 조건 지원 서비스에서 서비스를 찾으세요.

CONDITION: 지원되는 서비스 리소스의 표현에 대해 작성된 CEL 조건. 이 필드는 최대 1,000자(영문 기준)까지 포함할 수 있습니다. 예를 들면 "resource.tcpHealthCheck.port >= 1024"입니다.

조건을 작성하는 데 사용할 수 있는 리소스에 대한 자세한 내용은 지원되는 리소스를 참조하세요.

ACTION: condition이 충족되면 수행할 작업. 가능한 값은 ALLOW, DENY입니다.

허용 작업은 조건이 true로 평가되면 리소스를 만들거나 업데이트하는 작업이 허용됨을 의미합니다. 즉, 조건에 명시적으로 나열된 케이스를 제외한 다른 모든 케이스는 차단됩니다.

거부 작업은 조건이 true로 평가되면 리소스를 만들거나 업데이트하는 작업이 차단됨을 의미합니다.

DISPLAY_NAME: 사람이 읽을 수 있는 제약 조건 이름입니다. 이 이름은 오류 메시지에 사용되며 식별과 디버깅에 사용할 수 있습니다. 이 이름은 오류 메시지에 노출될 수 있으므로 표시 이름에 개인 식별 정보나 민감한 정보를 사용하지 마세요. 이 필드는 최대 200자(영문 기준)까지 포함할 수 있습니다.
DESCRIPTION: 정책이 위반될 때 오류 메시지로 표시할 사용자 친화적인 제약 조건 설명. 이 필드는 최대 2,000자(영문 기준)까지 포함할 수 있습니다.

새 커스텀 제약 조건에 사용할 YAML 파일을 만든 후에는 조직의 조직 정책에 이 파일을 사용할 수 있도록 설정해야 합니다. 커스텀 제약 조건을 설정하려면 gcloud org-policies set-custom-constraint 명령어를 사용합니다.

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

CONSTRAINT_PATH를 커스텀 제약 조건 파일의 전체 경로로 바꿉니다. 예를 들면 /home/user/customconstraint.yaml입니다.

이 작업이 완료되면 Cloud de Confiance by S3NS 조직 정책 목록에서 조직 정책으로 커스텀 제약 조건을 사용할 수 있습니다.

커스텀 제약 조건이 있는지 확인하려면 gcloud org-policies list-custom-constraints 명령어를 사용합니다.

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

ORGANIZATION_ID를 조직 리소스의 ID로 바꿉니다.

자세한 내용은 조직 정책 보기를 참고하세요.

커스텀 조직 정책 적용

제약 조건을 참조하는 조직 정책을 만든 후 해당 조직 정책을 Cloud de Confiance by S3NS 리소스에 적용하여 제약 조건을 적용할 수 있습니다.

콘솔

Cloud de Confiance 콘솔에서 조직 정책 페이지로 이동합니다.
조직 정책으로 이동
프로젝트 선택 도구에서 조직 정책을 설정할 프로젝트를 선택합니다.
조직 정책 페이지의 목록에서 제약 조건을 선택하여 해당 제약조건의 정책 세부정보 페이지를 봅니다.
이 리소스의 조직 정책을 구성하려면 정책 관리를 클릭합니다.
정책 수정 페이지에서 상위 정책 재정의를 선택합니다.
규칙 추가를 클릭합니다.
적용 섹션에서 이 조직 정책을 적용할지 여부를 선택합니다.
(선택사항) 태그로 조직 정책을 조건부로 만들려면 조건 추가를 클릭합니다. 조건부 규칙을 조직 정책에 추가하면 비조건부 규칙을 최소 하나 이상 추가해야 합니다. 그러지 않으면 정책을 저장할 수 없습니다. 자세한 내용은 태그를 사용하여 조직 정책 범위 지정을 참고하세요.
변경사항 테스트를 클릭하여 조직 정책 효과를 시뮬레이션합니다. 자세한 내용은 정책 시뮬레이터로 조직 정책 변경사항 테스트를 참조하세요.
테스트 실행 모드의 조직 정책을 적용하려면 테스트 실행 정책 설정을 클릭합니다. 자세한 내용은 조직 정책 테스트를 참고하세요.
테스트 실행 모드의 조직 정책이 의도한 대로 작동하는지 확인한 후 정책 설정을 클릭하여 실시간 정책을 설정합니다.

gcloud

불리언 규칙이 있는 조직 정책을 만들려면 제약 조건을 참조하는 정책 YAML 파일을 만듭니다.

name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

다음을 바꿉니다.

PROJECT_ID: 제약 조건을 적용할 프로젝트
CONSTRAINT_NAME: 커스텀 제약 조건에 정의한 이름. 예를 들면 custom.enforceTCPHealthCheckPort1024입니다.

테스트 실행 모드의 조직 정책을 적용하려면 dryRunSpec 플래그와 함께 다음 명령어를 실행합니다.

gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

테스트 실행 모드의 조직 정책이 의도한 대로 작동하는지 확인한 후 org-policies set-policy 명령어와 spec 플래그를 사용하여 실시간 정책을 설정합니다.

gcloud org-policies set-policy POLICY_PATH --update-mask=spec

POLICY_PATH를 조직 정책 YAML 파일의 전체 경로로 바꿉니다. 정책이 적용되는 데 최대 15분이 소요됩니다.

커스텀 조직 정책 테스트

다음 예에서는 TCP 상태 확인 포트가 1024 이상이어야 하는 맞춤 제약 조건을 만들어 잘 알려진 포트 (0~1023)의 사용을 방지합니다.

커스텀 제약 조건 만들기

커스텀 제약 조건을 정의하려면 constraint-tcp-health-check-ports.yaml라는 파일을 만듭니다.

name: organizations/ORGANIZATION_ID/customConstraints/custom.enforceTCPHealthCheckPort1024
resource_types:
– compute.googleapis.com/HealthCheck
condition: "resource.tcpHealthCheck.port >= 1024"
method_types:
– CREATE
– UPDATE
action_type: ALLOW
display_name: Only TCP health check ports >= 1024 allowed.
description: Prevent TCP health checks on well-known ports.

ORGANIZATION_ID를 조직 ID로 바꿉니다.

커스텀 제약조건을 적용합니다.

gcloud org-policies set-custom-constraint constraint-tcp-health-check-ports

조직 정책 만들기

조직 정책을 정의하려면 policy-tcp-health-check-ports.yaml라는 파일을 만듭니다. 이 예시에서는 프로젝트 수준에서 이 제약조건을 적용하지만 조직 또는 폴더 수준에서 이를 설정할 수도 있습니다.
```
name: projects/PROJECT_ID/policies/custom.enforceTCPHealthCheckPort1024
spec:
  rules:
  – enforce: true
```
PROJECT_ID를 프로젝트 ID로 바꿉니다.

조직 정책을 적용합니다.

gcloud org-policies set-policy policy-tcp-health-check-ports

조직 정책이 있는지 확인합니다.

gcloud org-policies list --project PROJECT_ID

출력은 다음과 비슷합니다.

CONSTRAINT: custom.enforceTCPHealthCheckPort1024
LIST_POLICY: SET
BOOLEAN_POLICY: -
ETAG: CNHuh7kGEJiatFo=-

정책 테스트

포트 80에서 TCP 상태 확인을 만들어 제약 조건을 테스트합니다.

gcloud compute health-checks create tcp my-tcp-health-check \
    --project=PROJECT_ID \
    --region=us-central1 \
    --port=80 \
    --check-interval=5s \
    --timeout=5s \
    --healthy-threshold=4 \
    --unhealthy-threshold=5 \

작업이 허용되지 않으며 출력은 다음과 비슷합니다.

ERROR: (gcloud.compute.healthChecks.create) Could not fetch resource:
– Operation denied by custom org policies: [customConstraints/custom.enforceTCPHealthCheckPort1024]: Only TCP health check ports >= 1024 allowed.

일반적인 사용 사례에 대한 커스텀 조직 정책 예시

다음 표에는 몇 가지 일반적인 맞춤 제약 조건의 구문이 나와 있습니다.

설명	제약조건 구문
모든 백엔드 버킷에 Cloud CDN이 사용 설정되도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.backendBucketEnableCdn resourceTypes: - compute.googleapis.com/BackendBucket methodTypes: - CREATE - UPDATE condition: "resource.enableCdn == true" actionType: ALLOW displayName: Require all backend buckets to have Cloud CDN enabled description: All backend buckets must have Cloud CDN enabled.
HTTP 및 TCP를 백엔드 서비스 프로토콜로 사용하지 못하도록 금지합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.backendBucketEnableCdn resourceTypes: - compute.googleapis.com/BackendService methodTypes: - CREATE - UPDATE condition: "resource.protocol == 'HTTP' \|\| resource.protocol == 'TCP'" actionType: DENY displayName: Disallow the use of HTTP and TCP as backend service protocols description: Backend services cannot configure HTTP or TCP as the backend service protocol.
전달 규칙이 표준 등급을 사용하도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.forwardingRulesStandardTier resourceTypes: - compute.googleapis.com/ForwardingRule methodTypes: - CREATE - UPDATE condition: "resource.networkTier == 'STANDARD'" actionType: ALLOW displayName: Require forwarding rules to use Standard Tier description: Forwarding rules must use the Standard Network Service Tier.
모든 상태 확인 프로토콜이 포트 1024 이상에서 발생하도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.healthCheckPortMin1024 resourceTypes: - compute.googleapis.com/HealthCheck methodTypes: - CREATE - UPDATE condition: "resource.tcpHealthCheck.port >= 1024 && resource.httpHealthCheck.port >= 1024 && resource.httpsHealthCheck.port >= 1024 && resource.sslHealthCheck.port >= 1024 && resource.sslHealthCheck.port >= 1024 &&resource.http2HealthCheck.port >= 1024 && resource.grpcHealthCheck.port >= 1024" actionType: ALLOW displayName: Require port 1024 or greater for all health checks description: All health check protocols must use a port of 1024 or higher, to avoid well-known ports.
gRPC 상태 점검 금지	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.disallowGRPCHealthChecks resourceTypes: - compute.googleapis.com/HealthCheck methodTypes: - CREATE - UPDATE condition: "resource.type == 'GRPC'" actionType: DENY displayName: Disallow GRPC health checks description: Health checks aren't allowed to use GRPC.
빈도가 높은 상태 확인 프로브 방지	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.minHealthCheckFrequency resourceTypes: - compute.googleapis.com/HealthCheck methodTypes: - CREATE - UPDATE condition: "resource.checkIntervalSec >= 30" actionType: ALLOW displayName: Disallow fast health check probes description: Prevent health checks from having a probe frequency under 30 seconds.
1000초를 초과하는 클라이언트 HTTPS 연결 유지 타임아웃 금지	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.clientHTTPSKeepalive1000Sec resourceTypes: - compute.googleapis.com/TargetHttpsProxy methodTypes: - CREATE - UPDATE condition: "resource.httpKeepAliveTimeoutSec > 1000" actionType: DENY displayName: Disallow client HTTPS keepalive timeout greater than 1000 seconds description: Disallow client HTTPS keepalive timeout values greater than 1000 seconds.
URL 맵에 HTTP `500` 상태 코드에 대해 커스텀 오류 응답이 포함되도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.urlMapCustomResponseHTTP500 resourceTypes: - compute.googleapis.com/UrlMaps methodTypes: - CREATE - UPDATE condition: "resource.defaultCustomErrorResponsePolicy.errorResponseRule.exists(value, value.matchResponseCode == 500)" actionType: ALLOW displayName: Require URL maps to have a custom error response policy for HTTP 500 errors description: URL maps must have a custom error response policy configured for HTTP 500 errors.
대상 인스턴스가 "targetInstance" 문자열로 시작하는 이름을 갖도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.targetInstanceConstraint resourceTypes: - compute.googleapis.com/TargetInstance methodTypes: - CREATE - UPDATE condition: "resource.name.startsWith('targetInstance')" actionType: ALLOW displayName: Require target instances to have a name that starts with the string "targetInstance" description: Target instances must have resource names that start with the string "targetInstance"
대상 풀이 CLIENT_IP 세션 어피니티를 갖도록 요구합니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.targetPoolConstraint resourceTypes: - compute.googleapis.com/TargetPool methodTypes: - CREATE - UPDATE condition: "resource.sessionAffinity == 'CLIENT_IP'" actionType: ALLOW displayName: Require target pools to use CLIENT_IP session affinity description: Target pools must use CLIENT_IP session affinity
최소 TLS 버전을 1.2로 제한	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.restrictLbTlsVersion resource_types: compute.googleapis.com/SslPolicy methodTypes: - CREATE - UPDATE condition: resource.minTlsVersion == "TLS_1_2" action_type: ALLOW display_name: Restrict Load Balancing TLS version to 1.2 description: Only allow SSL policies to be created or updated if the minimum TLS version is 1.2 where this custom constraint is enforced.
다음 조건이 충족되는 경우 SSL 리소스 생성을 허용합니다. 최소 TLS 버전이 1.2로 설정되어 있습니다. SSL 정책에 SSL 기능을 개별적으로 선택할 수 있는 CUSTOM 프로필이 있습니다. SSL 정책에 ChaCha20-Poly1305 암호화 스위트가 없습니다.	name: organizations/`ORGANIZATION_ID`/customConstraints/custom.restrictLbTlsCapabilities resourceTypes: - compute.googleapis.com/SslPolicy methodTypes: - CREATE - UPDATE condition: resource.minTlsVersion == "TLS_1_2" && resource.profile == "CUSTOM" && !resource.customFeatures.exists(feature, feature.contains("CHACHA20_POLY1305")) actionType: ALLOW displayName: Restrict Load Balancing TLS Capabilities description: Only allow SSL Policy resources to be created or updated if the minimum TLS version is 1.2, profile is CUSTOM, and no ChaCha20-Poly1305 cipher suite is used where this custom constraint is enforced.

Cloud Load Balancing 지원 리소스

Cloud Load Balancing의 경우 다음 리소스 및 필드에 대한 커스텀 제약조건을 설정할 수 있습니다.

리소스	필드
compute.googleapis.com/BackendBucket	`resource.bucketName`
	`resource.cdnPolicy.bypassCacheOnRequestHeaders.headerName`
	`resource.cdnPolicy.cacheKeyPolicy.includeHttpHeaders`
	`resource.cdnPolicy.cacheKeyPolicy.queryStringWhitelist`
	`resource.cdnPolicy.cacheMode`
	`resource.cdnPolicy.clientTtl`
	`resource.cdnPolicy.defaultTtl`
	`resource.cdnPolicy.maxTtl`
	`resource.cdnPolicy.negativeCaching`
	`resource.cdnPolicy.negativeCachingPolicy.code`
	`resource.cdnPolicy.negativeCachingPolicy.ttl`
	`resource.cdnPolicy.requestCoalescing`
	`resource.cdnPolicy.serveWhileStale`
	`resource.cdnPolicy.signedUrlCacheMaxAgeSec`
	`resource.compressionMode`
	`resource.customResponseHeaders`
	`resource.description`
	`resource.enableCdn`
	`resource.loadBalancingScheme`
	`resource.name`
compute.googleapis.com/BackendService	`resource.affinityCookieTtlSec`
	`resource.backends.balancingMode`
	`resource.backends.capacityScaler`
	`resource.backends.description`
	`resource.backends.failover`
	`resource.backends.maxConnections`
	`resource.backends.maxConnectionsPerEndpoint`
	`resource.backends.maxConnectionsPerInstance`
	`resource.backends.maxRate`
	`resource.backends.maxRatePerEndpoint`
	`resource.backends.maxRatePerInstance`
	`resource.backends.maxSessions`
	`resource.backends.maxSessionsPerEndpoint`
	`resource.backends.maxSessionsPerInstance`
	`resource.backends.maxUtilization`
	`resource.backends.preference`
	`resource.backends.trafficDuration`
	`resource.cdnPolicy.bypassCacheOnRequestHeaders.headerName`
	`resource.cdnPolicy.cacheKeyPolicy.includeHost`
	`resource.cdnPolicy.cacheKeyPolicy.includeHttpHeaders`
	`resource.cdnPolicy.cacheKeyPolicy.includeNamedCookies`
	`resource.cdnPolicy.cacheKeyPolicy.includeProtocol`
	`resource.cdnPolicy.cacheKeyPolicy.includeQueryString`
	`resource.cdnPolicy.cacheKeyPolicy.queryStringBlacklist`
	`resource.cdnPolicy.cacheKeyPolicy.queryStringWhitelist`
	`resource.cdnPolicy.cacheMode`
	`resource.cdnPolicy.clientTtl`
	`resource.cdnPolicy.defaultTtl`
	`resource.cdnPolicy.maxTtl`
	`resource.cdnPolicy.negativeCaching`
	`resource.cdnPolicy.negativeCachingPolicy.code`
	`resource.cdnPolicy.negativeCachingPolicy.ttl`
	`resource.cdnPolicy.requestCoalescing`
	`resource.cdnPolicy.serveWhileStale`
	`resource.cdnPolicy.signedUrlCacheMaxAgeSec`
	`resource.circuitBreakers.maxConnections`
	`resource.circuitBreakers.maxPendingRequests`
	`resource.circuitBreakers.maxRequests`
	`resource.circuitBreakers.maxRequestsPerConnection`
	`resource.circuitBreakers.maxRetries`
	`resource.compressionMode`
	`resource.connectionDraining.drainingTimeoutSec`
	`resource.connectionTrackingPolicy.connectionPersistenceOnUnhealthyBackends`
	`resource.connectionTrackingPolicy.enableStrongAffinity`
	`resource.connectionTrackingPolicy.idleTimeoutSec`
	`resource.connectionTrackingPolicy.trackingMode`
	`resource.consistentHash.httpCookie.name`
	`resource.consistentHash.httpCookie.path`
	`resource.consistentHash.httpCookie.ttl.nanos`
	`resource.consistentHash.httpCookie.ttl.seconds`
	`resource.consistentHash.minimumRingSize`
	`resource.customRequestHeaders`
	`resource.customResponseHeaders`
	`resource.description`
	`resource.enableCDN`
	`resource.failoverPolicy.disableConnectionDrainOnFailover`
	`resource.failoverPolicy.dropTrafficIfUnhealthy`
	`resource.failoverPolicy.failoverRatio`
	`resource.haPolicy.fastIPMove`
	`resource.haPolicy.leader.backendGroup`
	`resource.haPolicy.leader.networkEndpoint.instance`
	`resource.iap.enabled`
	`resource.iap.oauth2ClientId`
	`resource.ipAddressSelectionPolicy`
`resource.loadBalancingScheme`
`resource.localityLbPolicies.customPolicy.data`
`resource.localityLbPolicies.customPolicy.name`
`resource.localityLbPolicies.policy.name`
`resource.logConfig.enable`
`resource.logConfig.optionalFields`
`resource.logConfig.optionalMode`
`resource.logConfig.sampleRate`
`resource.maxStreamDuration.nanos`
`resource.maxStreamDuration.seconds`
`resource.name`
`resource.outlierDetection.baseEjectionTime.nanos`
`resource.outlierDetection.baseEjectionTime.seconds`
`resource.outlierDetection.consecutiveGatewayFailure`
`resource.outlierDetection.enforcingConsecutiveErrors`
`resource.outlierDetection.enforcingConsecutiveGatewayFailure`
`resource.outlierDetection.enforcingSuccessRate`
`resource.outlierDetection.maxEjectionPercent`
`resource.outlierDetection.successRateMinimumHosts`
`resource.outlierDetection.successRateRequestVolume`
`resource.outlierDetection.successRateStdevFactor`
`resource.portName`
`resource.protocol`
`resource.securitySettings.awsV4Authentication.accessKeyId`
`resource.securitySettings.awsV4Authentication.accessKeyVersion`
`resource.securitySettings.subjectAltNames`
`resource.sessionAffinity`
`resource.strongSessionAffinityCookie.name`
`resource.strongSessionAffinityCookie.path`
`resource.strongSessionAffinityCookie.ttl.nanos`
`resource.strongSessionAffinityCookie.ttl.seconds`
`resource.subsetting.policy`
`resource.timeoutSec`
compute.googleapis.com/ForwardingRule	`resource.allowGlobalAccess`
	`resource.allowPscGlobalAccess`
	`resource.allPorts`
	`resource.description`
	`resource.IPProtocol`
	`resource.ipVersion`
	`resource.isMirroringCollector`
	`resource.loadBalancingScheme`
	`resource.metadataFilters.filterLabels.name`
	`resource.metadataFilters.filterLabels.value`
	`resource.metadataFilters.filterMatchCriteria`
	`resource.name`
	`resource.networkTier`
	`resource.noAutomateDnsZone`
	`resource.portRange`
	`resource.ports`
	`resource.serviceDirectoryRegistrations.namespace`
	`resource.serviceDirectoryRegistrations.service`
	`resource.serviceDirectoryRegistrations.serviceDirectoryRegion`
	`resource.serviceLabel`
	`resource.sourceIpRanges`
	`resource.target`
compute.googleapis.com/HealthCheck	`resource.checkIntervalSec`
	`resource.description`
	`resource.grpcHealthCheck.grpcServiceName`
	`resource.grpcHealthCheck.port`
	`resource.grpcHealthCheck.portSpecification`
	`resource.healthyThreshold`
	`resource.http2HealthCheck.host`
	`resource.http2HealthCheck.port`
	`resource.http2HealthCheck.portSpecification`
	`resource.http2HealthCheck.proxyHeader`
	`resource.http2HealthCheck.requestPath`
	`resource.http2HealthCheck.response`
	`resource.httpHealthCheck.host`
	`resource.httpHealthCheck.port`
	`resource.httpHealthCheck.portSpecification`
	`resource.httpHealthCheck.proxyHeader`
	`resource.httpHealthCheck.requestPath`
	`resource.httpHealthCheck.response`
	`resource.httpsHealthCheck.host`
	`resource.httpsHealthCheck.port`
	`resource.httpsHealthCheck.portSpecification`
	`resource.httpsHealthCheck.proxyHeader`
	`resource.httpsHealthCheck.requestPath`
	`resource.httpsHealthCheck.response`
	`resource.logConfig.enable`
	`resource.name`
	`resource.sourceRegions`
	`resource.sslHealthCheck.port`
	`resource.sslHealthCheck.portSpecification`
	`resource.sslHealthCheck.proxyHeader`
	`resource.sslHealthCheck.request`
	`resource.sslHealthCheck.response`
	`resource.tcpHealthCheck.port`
	`resource.tcpHealthCheck.portSpecification`
	`resource.tcpHealthCheck.proxyHeader`
	`resource.tcpHealthCheck.request`
	`resource.tcpHealthCheck.response`
	`resource.timeoutSec`
	`resource.type`
	`resource.unhealthyThreshold`
compute.googleapis.com/NetworkEndpointGroup	`resource.annotations`
	`resource.appEngine.service`
	`resource.appEngine.urlMask`
	`resource.appEngine.version`
	`resource.cloudFunction.function`
	`resource.cloudFunction.urlMask`
	`resource.cloudRun.service`
	`resource.cloudRun.tag`
	`resource.cloudRun.urlMask`
	`resource.defaultPort`
	`resource.description`
	`resource.name`
	`resource.network`
	`resource.networkEndpointType`
	`resource.pscData.producerPort`
	`resource.pscTargetService`
	`resource.subnetwork`
compute.googleapis.com/SslPolicy	`resource.customFeatures`
	`resource.description`
	`resource.minTlsVersion`
	`resource.name`
	`resource.profile`
compute.googleapis.com/TargetGrpcProxy	`resource.description`
	`resource.name`
	`resource.validateForProxyless`
compute.googleapis.com/TargetHttpProxy	`resource.description`
	`resource.httpKeepAliveTimeoutSec`
	`resource.name`
	`resource.proxyBind`
compute.googleapis.com/TargetHttpsProxy	`resource.description`
	`resource.httpKeepAliveTimeoutSec`
	`resource.name`
	`resource.proxyBind`
	`resource.quicOverride`
	`resource.tlsEarlyData`
compute.googleapis.com/TargetInstance	`resource.description`
	`resource.name`
	`resource.natPolicy`
compute.googleapis.com/TargetPool	`resource.description`
	`resource.failoverRatio`
	`resource.name`
	`resource.sessionAffinity`
compute.googleapis.com/TargetSslProxy	`resource.description`
	`resource.name`
	`resource.proxyHeader`
compute.googleapis.com/TargetTcpProxy	`resource.description`
	`resource.name`
	`resource.proxyBind`
	`resource.proxyHeader`
compute.googleapis.com/UrlMap	`resource.defaultCustomErrorResponsePolicy.errorResponseRules.matchResponseCodes`
	`resource.defaultCustomErrorResponsePolicy.errorResponseRules.overrideResponseCode`
	`resource.defaultCustomErrorResponsePolicy.errorResponseRules.path`
	`resource.defaultRouteAction.corsPolicy.allowCredentials`
	`resource.defaultRouteAction.corsPolicy.allowHeaders`
	`resource.defaultRouteAction.corsPolicy.allowMethods`
	`resource.defaultRouteAction.corsPolicy.allowOriginRegexes`
	`resource.defaultRouteAction.corsPolicy.allowOrigins`
	`resource.defaultRouteAction.corsPolicy.disabled`
	`resource.defaultRouteAction.corsPolicy.exposeHeaders`
	`resource.defaultRouteAction.corsPolicy.maxAge`
	`resource.defaultRouteAction.faultInjectionPolicy.abort.httpStatus`
	`resource.defaultRouteAction.faultInjectionPolicy.abort.percentage`
	`resource.defaultRouteAction.faultInjectionPolicy.delay.fixedDelay.nanos`
	`resource.defaultRouteAction.faultInjectionPolicy.delay.fixedDelay.seconds`
	`resource.defaultRouteAction.faultInjectionPolicy.delay.percentage`
	`resource.defaultRouteAction.maxStreamDuration.nanos`
	`resource.defaultRouteAction.maxStreamDuration.seconds`
	`resource.defaultRouteAction.retryPolicy.numRetries`
	`resource.defaultRouteAction.retryPolicy.perTryTimeout.nanos`
	`resource.defaultRouteAction.retryPolicy.perTryTimeout.seconds`
	`resource.defaultRouteAction.retryPolicy.retryConditions`
	`resource.defaultRouteAction.timeout.nanos`
	`resource.defaultRouteAction.timeout.seconds`
	`resource.defaultRouteAction.urlRewrite.hostRewrite`
	`resource.defaultRouteAction.urlRewrite.pathPrefixRewrite`
	`resource.defaultRouteAction.urlRewrite.pathTemplateRewrite`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerName`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerValue`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.replace`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToRemove`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerName`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerValue`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.replace`
	`resource.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToRemove`
	`resource.defaultRouteAction.weightedBackendServices.weight`
	`resource.defaultUrlRedirect.hostRedirect`
	`resource.defaultUrlRedirect.httpsRedirect`
	`resource.defaultUrlRedirect.pathRedirect`
	`resource.defaultUrlRedirect.prefixRedirect`
	`resource.defaultUrlRedirect.redirectResponseCode`
	`resource.defaultUrlRedirect.stripQuery`
	`resource.description`
	`resource.headerAction.requestHeadersToAdd.headerName`
	`resource.headerAction.requestHeadersToAdd.headerValue`
	`resource.headerAction.requestHeadersToAdd.replace`
	`resource.headerAction.requestHeadersToRemove`
	`resource.headerAction.responseHeadersToAdd.headerName`
	`resource.headerAction.responseHeadersToAdd.headerValue`
	`resource.headerAction.responseHeadersToAdd.replace`
	`resource.headerAction.responseHeadersToRemove`
	`resource.hostRules.description`
	`resource.hostRules.hosts`
	`resource.hostRules.pathMatcher`
	`resource.name`
	`resource.pathMatchers.defaultCustomErrorResponsePolicy.errorResponseRules.matchResponseCodes`
	`resource.pathMatchers.defaultCustomErrorResponsePolicy.errorResponseRules.overrideResponseCode`
	`resource.pathMatchers.defaultCustomErrorResponsePolicy.errorResponseRules.path`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.allowCredentials`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.allowHeaders`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.allowMethods`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.allowOriginRegexes`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.allowOrigins`
	`resource.pathMatchers.defaultRouteAction.corsPolicy.disabled`
`resource.pathMatchers.defaultRouteAction.corsPolicy.exposeHeaders`
`resource.pathMatchers.defaultRouteAction.corsPolicy.maxAge`
`resource.pathMatchers.defaultRouteAction.faultInjectionPolicy.abort.httpStatus`
`resource.pathMatchers.defaultRouteAction.faultInjectionPolicy.abort.percentage`
`resource.pathMatchers.defaultRouteAction.faultInjectionPolicy.delay.fixedDelay.nanos`
`resource.pathMatchers.defaultRouteAction.faultInjectionPolicy.delay.fixedDelay.seconds`
`resource.pathMatchers.defaultRouteAction.faultInjectionPolicy.delay.percentage`
`resource.pathMatchers.defaultRouteAction.maxStreamDuration.nanos`
`resource.pathMatchers.defaultRouteAction.maxStreamDuration.seconds`
`resource.pathMatchers.defaultRouteAction.retryPolicy.numRetries`
`resource.pathMatchers.defaultRouteAction.retryPolicy.perTryTimeout.nanos`
`resource.pathMatchers.defaultRouteAction.retryPolicy.perTryTimeout.seconds`
`resource.pathMatchers.defaultRouteAction.retryPolicy.retryConditions`
`resource.pathMatchers.defaultRouteAction.timeout.nanos`
`resource.pathMatchers.defaultRouteAction.timeout.seconds`
`resource.pathMatchers.defaultRouteAction.urlRewrite.hostRewrite`
`resource.pathMatchers.defaultRouteAction.urlRewrite.pathPrefixRewrite`
`resource.pathMatchers.defaultRouteAction.urlRewrite.pathTemplateRewrite`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerName`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerValue`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToAdd.replace`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.requestHeadersToRemove`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerName`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerValue`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToAdd.replace`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.headerAction.responseHeadersToRemove`
`resource.pathMatchers.defaultRouteAction.weightedBackendServices.weight`
`resource.pathMatchers.defaultUrlRedirect.hostRedirect`
`resource.pathMatchers.defaultUrlRedirect.httpsRedirect`
`resource.pathMatchers.defaultUrlRedirect.pathRedirect`
`resource.pathMatchers.defaultUrlRedirect.prefixRedirect`
`resource.pathMatchers.defaultUrlRedirect.redirectResponseCode`
`resource.pathMatchers.defaultUrlRedirect.stripQuery`
`resource.pathMatchers.description`
`resource.pathMatchers.headerAction.requestHeadersToAdd.headerName`
`resource.pathMatchers.headerAction.requestHeadersToAdd.headerValue`
`resource.pathMatchers.headerAction.requestHeadersToAdd.replace`
`resource.pathMatchers.headerAction.requestHeadersToRemove`
`resource.pathMatchers.headerAction.responseHeadersToAdd.headerName`
`resource.pathMatchers.headerAction.responseHeadersToAdd.headerValue`
`resource.pathMatchers.headerAction.responseHeadersToAdd.replace`
`resource.pathMatchers.headerAction.responseHeadersToRemove`
`resource.pathMatchers.name`
`resource.pathMatchers.pathRules.customErrorResponsePolicy.errorResponseRules.matchResponseCodes`
`resource.pathMatchers.pathRules.customErrorResponsePolicy.errorResponseRules.overrideResponseCode`
`resource.pathMatchers.pathRules.customErrorResponsePolicy.errorResponseRules.path`
`resource.pathMatchers.pathRules.paths`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.allowCredentials`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.allowHeaders`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.allowMethods`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.allowOriginRegexes`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.allowOrigins`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.disabled`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.exposeHeaders`
`resource.pathMatchers.pathRules.routeAction.corsPolicy.maxAge`
`resource.pathMatchers.pathRules.routeAction.faultInjectionPolicy.abort.httpStatus`
`resource.pathMatchers.pathRules.routeAction.faultInjectionPolicy.abort.percentage`
`resource.pathMatchers.pathRules.routeAction.faultInjectionPolicy.delay.fixedDelay.nanos`
`resource.pathMatchers.pathRules.routeAction.faultInjectionPolicy.delay.fixedDelay.seconds`
`resource.pathMatchers.pathRules.routeAction.faultInjectionPolicy.delay.percentage`
`resource.pathMatchers.pathRules.routeAction.maxStreamDuration.nanos`
`resource.pathMatchers.pathRules.routeAction.maxStreamDuration.seconds`
`resource.pathMatchers.pathRules.routeAction.retryPolicy.numRetries`
`resource.pathMatchers.pathRules.routeAction.retryPolicy.perTryTimeout.nanos`
`resource.pathMatchers.pathRules.routeAction.retryPolicy.perTryTimeout.seconds`
`resource.pathMatchers.pathRules.routeAction.retryPolicy.retryConditions`
`resource.pathMatchers.pathRules.routeAction.timeout.nanos`
`resource.pathMatchers.pathRules.routeAction.timeout.seconds`
`resource.pathMatchers.pathRules.routeAction.urlRewrite.hostRewrite`
`resource.pathMatchers.pathRules.routeAction.urlRewrite.pathPrefixRewrite`
`resource.pathMatchers.pathRules.routeAction.urlRewrite.pathTemplateRewrite`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerName`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerValue`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.replace`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.requestHeadersToRemove`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerName`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerValue`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.replace`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.headerAction.responseHeadersToRemove`
`resource.pathMatchers.pathRules.routeAction.weightedBackendServices.weight`
`resource.pathMatchers.pathRules.urlRedirect.hostRedirect`
`resource.pathMatchers.pathRules.urlRedirect.httpsRedirect`
`resource.pathMatchers.pathRules.urlRedirect.pathRedirect`
`resource.pathMatchers.pathRules.urlRedirect.prefixRedirect`
`resource.pathMatchers.pathRules.urlRedirect.redirectResponseCode`
`resource.pathMatchers.pathRules.urlRedirect.stripQuery`
`resource.pathMatchers.routeRules.customErrorResponsePolicy.errorResponseRules.matchResponseCodes`
`resource.pathMatchers.routeRules.customErrorResponsePolicy.errorResponseRules.overrideResponseCode`
`resource.pathMatchers.routeRules.customErrorResponsePolicy.errorResponseRules.path`
`resource.pathMatchers.routeRules.description`
`resource.pathMatchers.routeRules.headerAction.requestHeadersToAdd.headerName`
`resource.pathMatchers.routeRules.headerAction.requestHeadersToAdd.headerValue`
`resource.pathMatchers.routeRules.headerAction.requestHeadersToAdd.replace`
`resource.pathMatchers.routeRules.headerAction.requestHeadersToRemove`
`resource.pathMatchers.routeRules.headerAction.responseHeadersToAdd.headerName`
`resource.pathMatchers.routeRules.headerAction.responseHeadersToAdd.headerValue`
`resource.pathMatchers.routeRules.headerAction.responseHeadersToAdd.replace`
`resource.pathMatchers.routeRules.headerAction.responseHeadersToRemove`
`resource.pathMatchers.routeRules.matchRules.fullPathMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.exactMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.headerName`
`resource.pathMatchers.routeRules.matchRules.headerMatches.invertMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.prefixMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.presentMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.rangeMatch.rangeEnd`
`resource.pathMatchers.routeRules.matchRules.headerMatches.rangeMatch.rangeStart`
`resource.pathMatchers.routeRules.matchRules.headerMatches.regexMatch`
`resource.pathMatchers.routeRules.matchRules.headerMatches.suffixMatch`
`resource.pathMatchers.routeRules.matchRules.ignoreCase`
`resource.pathMatchers.routeRules.matchRules.metadataFilters.filterLabels.name`
`resource.pathMatchers.routeRules.matchRules.metadataFilters.filterLabels.value`
`resource.pathMatchers.routeRules.matchRules.metadataFilters.filterMatchCriteria`
`resource.pathMatchers.routeRules.matchRules.pathTemplateMatch`
`resource.pathMatchers.routeRules.matchRules.prefixMatch`
`resource.pathMatchers.routeRules.matchRules.queryParameterMatches.exactMatch`
`resource.pathMatchers.routeRules.matchRules.queryParameterMatches.name`
`resource.pathMatchers.routeRules.matchRules.queryParameterMatches.presentMatch`
`resource.pathMatchers.routeRules.matchRules.queryParameterMatches.regexMatch`
`resource.pathMatchers.routeRules.matchRules.regexMatch`
`resource.pathMatchers.routeRules.priority`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.allowCredentials`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.allowHeaders`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.allowMethods`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.allowOriginRegexes`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.allowOrigins`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.disabled`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.exposeHeaders`
`resource.pathMatchers.routeRules.routeAction.corsPolicy.maxAge`
`resource.pathMatchers.routeRules.routeAction.faultInjectionPolicy.abort.httpStatus`
`resource.pathMatchers.routeRules.routeAction.faultInjectionPolicy.abort.percentage`
`resource.pathMatchers.routeRules.routeAction.faultInjectionPolicy.delay.fixedDelay.nanos`
`resource.pathMatchers.routeRules.routeAction.faultInjectionPolicy.delay.fixedDelay.seconds`
`resource.pathMatchers.routeRules.routeAction.faultInjectionPolicy.delay.percentage`
`resource.pathMatchers.routeRules.routeAction.maxStreamDuration.nanos`
`resource.pathMatchers.routeRules.routeAction.maxStreamDuration.seconds`
`resource.pathMatchers.routeRules.routeAction.retryPolicy.numRetries`
`resource.pathMatchers.routeRules.routeAction.retryPolicy.perTryTimeout.nanos`
`resource.pathMatchers.routeRules.routeAction.retryPolicy.perTryTimeout.seconds`
`resource.pathMatchers.routeRules.routeAction.retryPolicy.retryConditions`
`resource.pathMatchers.routeRules.routeAction.timeout.nanos`
`resource.pathMatchers.routeRules.routeAction.timeout.seconds`
`resource.pathMatchers.routeRules.routeAction.urlRewrite.hostRewrite`
`resource.pathMatchers.routeRules.routeAction.urlRewrite.pathPrefixRewrite`
`resource.pathMatchers.routeRules.routeAction.urlRewrite.pathTemplateRewrite`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerName`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.headerValue`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.requestHeadersToAdd.replace`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.requestHeadersToRemove`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerName`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.headerValue`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.responseHeadersToAdd.replace`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.headerAction.responseHeadersToRemove`
`resource.pathMatchers.routeRules.routeAction.weightedBackendServices.weight`
`resource.pathMatchers.routeRules.urlRedirect.hostRedirect`
`resource.pathMatchers.routeRules.urlRedirect.httpsRedirect`
`resource.pathMatchers.routeRules.urlRedirect.pathRedirect`
`resource.pathMatchers.routeRules.urlRedirect.prefixRedirect`
`resource.pathMatchers.routeRules.urlRedirect.redirectResponseCode`
`resource.pathMatchers.routeRules.urlRedirect.stripQuery`
`resource.tests.description`
`resource.tests.expectedOutputUrl`
`resource.tests.expectedRedirectResponseCode`
`resource.tests.headers.name`
`resource.tests.headers.value`
`resource.tests.host`
`resource.tests.path`
networkservices.googleapis.com/ServiceLbPolicy	`resource.autoCapacityDrain.enable`
	`resource.description`
	`resource.failoverConfig.failoverHealthThreshold`
	`resource.loadBalancingAlgorithm`
	`resource.name`

다음 단계

조직 정책 서비스 자세히 알아보기
조직 정책을 만들고 관리하는 방법 자세히 알아보기
관리형 조직 정책 제약 조건의 전체 목록 확인하기