Cloud KMS의 조직 정책 제약조건

이 페이지에서는 Cloud Key Management Service에 제한사항을 적용할 수 있는 조직 정책 제약조건에 대한 추가 정보를 제공합니다. 이러한 제약조건을 사용하여 전체 프로젝트 또는 조직에서 Cloud KMS 키의 리소스 위치 또는 허용되는 보호 수준을 제한할 수 있습니다.

CMEK 조직 정책을 사용하여 조직에서 CMEK 사용을 적용하고 조직 정책을 사용하여 키 파기를 제어할 수도 있습니다.

Cloud KMS 제약조건

다음 제약조건은 조직 정책에 적용할 수 있으며 Cloud Key Management Service와 관련이 있습니다.

리소스 위치 적용

API 이름: constraints/gcp.resourceLocations

resourceLocations 제약조건을 적용할 때 하나 이상의 위치를 지정합니다. 설정하고 나면 새 리소스(예: 키링, 키, 키 버전)의 생성이 지정된 위치로 제한됩니다.

제약조건이 적용되기 전에 생성되거나 가져온 다른 위치의 키는 계속 사용할 수 있습니다. 그러나 결과로 허용되지 않는 위치의 새 키 버전이 제공될 경우 키 순환(새 기본 키 버전의 자동 생성)이 실패합니다.

허용되는 보호 수준

API 이름: constraints/cloudkms.allowedProtectionLevels

allowedProtectionLevels 제약조건을 적용할 때 하나 이상의 보호 수준을 지정합니다. 설정하고 나면 새 키, 키 버전, 가져오기 작업에서 지정된 보호 수준 중 하나를 사용해야 합니다.

제약 조건이 적용되기 전에 생성된 다른 보호 수준의 키는 계속 사용할 수 있습니다. 그러나 결과로 허용되지 않는 보호 수준의 새 키 버전이 제공될 경우 키 순환(새 기본 키 버전의 자동 생성)이 실패합니다.

다음 단계

• CMEK 조직 정책 및 조직 정책을 사용하여 키 폐기를 제어하는 방법을 알아보세요.
• 조직 정책에 적용되는 리소스 계층 구조에 대해 알아보세요.
• Google Cloud 콘솔에서 제약조건 및 조직 정책 작업에 대한 안내는 조직 정책 만들기 및 관리를 참고하세요.
• gcloud CLI에서 제약조건 및 조직 정책 작업에 대한 안내는 제약조건 사용 참조하기
• projects.setOrgPolicy와 같은 관련 API 메서드에 대해서는 Resource Manager API 참조 문서 확인하기