신규 고객인 경우 Cloud de Confiance 다음 시나리오에서 도메인의 조직 리소스를 자동으로 프로비저닝합니다.
- 도메인의 사용자가 처음으로 로그인하는 경우
- 사용자가 조직 리소스가 연결되지 않은 결제 계정을 만드는 경우
무제한 액세스가 특징인 이 조직 리소스의 기본 구성으로 인해 인프라가 보안 침해에 노출될 가능성이 있습니다. 예를 들어 기본 서비스 계정 키 생성은 시스템을 잠재적 침해에 노출시키는 심각한 취약점입니다.
Cloud de Confiance by S3NS 보안 기준은 조직 리소스가 생성될 때 적용되는 조직 정책 번들로 취약한 보안 상태를 해결합니다. 자세한 내용은 조직 리소스 가져오기를 참고하세요. 이러한 조직 정책의 예로는 서비스 계정 키 생성 사용 중지와 서비스 계정 키 업로드 사용 중지가 있습니다.
기존 사용자가 조직을 만들면 새 조직 리소스의 보안 상황은 기존 조직 리소스와 다를 수 있습니다. Cloud de Confiance by S3NS 보안 기준 제약 조건은 2024년 5월 3일 이후에 생성된 모든 조직에 적용됩니다. 2024년 2월과 2024년 4월 사이에 생성된 일부 조직에도 이러한 기본 정책 적용이 설정되어 있을 수 있습니다. 조직에 적용된 조직 정책을 보려면 조직 정책 보기를 참고하세요.
시작하기 전에
조직 정책 및 제약 조건의 정의 및 작동 방식에 대한 자세한 내용은 조직 정책 서비스 소개를 참고하세요.
필요한 역할
조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 조직 정책을 관리하는 데 필요한 권한이 포함되어 있습니다. 필수 권한 섹션을 펼치면 필요한 권한을 정확하게 확인할 수 있습니다.
필수 권한
조직 정책을 관리하려면 다음 권한이 필요합니다.
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
조직 정책 관리자 역할 바인딩에 IAM 조건을 추가하여 조직 정책 관리를 위임할 수 있습니다. 주 구성원이 조직 정책을 관리할 수 있는 리소스를 제어하려면 특정 태그에 따라 역할 바인딩을 조건부로 설정하면 됩니다. 자세한 내용은 제약 조건 사용을 참고하세요.
조직 리소스에 적용되는 조직 정책
다음 표에는 조직 리소스를 만들 때 자동으로 적용되는 조직 정책 제약조건이 나와 있습니다.
| 조직 정책 이름 | 조직 정책 제약조건 | 설명 | 적용 영향 |
|---|---|---|---|
| 서비스 계정 키 생성 사용 중지 | constraints/iam.managed.disableServiceAccountKeyCreation |
사용자가 서비스 계정에 영구 키를 만들지 못하도록 합니다. 서비스 계정 키 관리 방법에 대한 자세한 내용은 서비스 계정 키 만들기에 대한 대안 제공을 참조하세요. | 노출된 서비스 계정 사용자 인증 정보 위험을 줄입니다. |
| 서비스 계정 키 업로드 사용 중지 | constraints/iam.managed.disableServiceAccountKeyUpload |
서비스 계정에 외부 공개 키를 업로드하지 못하게 합니다. 서비스 계정 키 없이 리소스에 액세스하는 방법에 대한 자세한 내용은 권장사항을 참조하세요. | 노출된 서비스 계정 사용자 인증 정보 위험을 줄입니다. |
| 기본 서비스 계정에 편집자 역할이 부여되지 않도록 방지 | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
기본 서비스 계정이 생성 시 과도한 권한이 부여된 IAM 편집자 역할을 받지 못하도록 합니다. | 편집자 역할은 서비스 계정에서 대부분의 Cloud de Confiance 서비스에 대한 리소스를 만들고 삭제할 수 있도록 허용하므로 서비스 계정이 도용되면 취약점이 발생합니다. |
| 도메인별 ID 제한 | constraints/iam.allowedPolicyMemberDomains |
특정 조직 리소스 또는 Google Workspace 고객 ID에 속하는 ID로 리소스 공유를 제한합니다. | 고객 자체 도메인이 아닌 도메인을 사용하는 행위자가 조직 리소스에 액세스할 수 있도록 허용하면 취약점이 발생합니다. |
| 도메인별 연락처 제한 | constraints/essentialcontacts.managed.allowedContactDomains |
선택한 도메인의 관리 사용자 ID만 플랫폼 알림을 수신하도록 필수 연락처를 제한합니다. | 다른 도메인의 악의적인 행위자가 필수 연락처로 추가되면 보안 상황이 손상될 수 있습니다. |
| IP 주소 유형에 따라 프로토콜 전달 제한 | constraints/compute.managed.restrictProtocolForwardingCreationForTypes |
내부 IP 주소에 대해서만 프로토콜 전달 구성을 제한합니다. | 대상 인스턴스를 외부 트래픽 노출로부터 보호합니다. |
| 균일한 버킷 수준 액세스 | constraints/storage.uniformBucketLevelAccess |
Cloud Storage 버킷이 객체별 ACL (허용 및 거부 정책과 별도의 시스템)을 사용하여 액세스 권한을 제공하지 않도록 합니다. | 액세스 관리 및 감사 일관성을 적용합니다. |
조직 정책 적용 관리
다음과 같은 방법으로 조직 정책 적용을 관리할 수 있습니다.
조직 정책 나열
Cloud de Confiance by S3NS 보안 기준 제약 조건이 조직에 적용되는지 확인하려면 다음 명령어를 사용합니다.
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
ORGANIZATION_ID를 조직의 고유 식별자로 바꿉니다.
조직 정책 사용 중지
조직 정책을 사용 중지하거나 삭제하려면 다음 명령어를 실행합니다.
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
다음을 바꿉니다.
CONSTRAINT_NAME: 삭제할 조직 정책 제약 조건의 이름입니다(예:iam.allowedPolicyMemberDomains).ORGANIZATION_ID: 조직의 고유 식별자
다음 단계
조직 정책을 만들고 관리하는 방법에 대한 자세한 내용은 제약 조건 사용을 참고하세요.