조직 정책(Org. Policy)의 이해

조직 정책(Org. Policy)는 무엇이고, 왜 필요한가요?

 

'조직 정책'이란 GCP를 안전하게 운영하기 위해 필요한 장치 중 하나로, 환경적 제약조건들의 묶음이라고 정의할 수 있습니다. 

 

예를 들어 GCP 조직을 총괄하는 관리자는 외부로부터의 공격을 미연에 방지하기 위해 서비스가 운영되고 있는 프로젝트의 모든 VM 인스턴스에 Public IP가 설정되지 않기를 원합니다. 그래서 작업자들에게 이 내용을 설명하고 모든 인스턴스의 Public IP를 제거해달라고 요청하죠. 하지만 작업자는 그 말을 듣지 않는다면 어떻게 될까요? 결국 내부적으론 갈등이 쌓이고 외부로부터 공격에 쉽게 노출되는 환경이 만들어지고 말죠.

 

이러한 문제를 해결하기 위해 애초에 환경적으로 Public IP를 사용하지 못하게 막아버리는 것, 그것이 바로 '조직 정책'이 하는 역할입니다. 

 

만약 GCP에 이미 서비스를 올려 운영하는 와중에 조직 정책을 변경하려고 하면 어떨까요?

제약이 없던 환경에서 작업하던 사용자는 갑자기  이전에 없던 에러를 경험하게 되고, 이미 동작중인 리소스는 새로 적용된 정책에 의해 중단되는 사고가 발생할 수 있습니다. 그래서 보통 조직 정책은 설정하기 전의 리소스에는 영향을 주지 않고 새롭게 생성되는 리소스에만 적용되도록 되어있습니다. 

 

 

조직 정책 설정 방법

 

조직정책을 생성하기 위해 필요한 권한 ‘orgpolicy.policies.create’이 포함된 대표적인 역할은 ‘조직 정책 관리자’이며, 조직 노드에서만 적용할 수 있습니다. 권한을 가진 사용자는 모든 위치에서 조직정책을 생성 및 수정할 수 있으므로 유의하여 부여합니다. 

 

그리고 상위 노드에서 설정된 정책은 기본적으로 하위 노드로 상속되기 때문에 어느 위치에서 설정하느냐에 따라 적용 범위가 달라질 수 있다는 점을 꼭 기억해주세요. 

 

[ IAM > 조직 정책 ] 페이지로 이동하여 사전에 정의된 정책들을 확인하고 설정할 정책을 검색합니다. 적용 또는 수정할 정책을 선택하여 수정 모드로 진입하면 아래 그림과 같은 화면을 볼 수 있는데, 수정을 위해서 '상위 정책 재정의' 옵션을 선택합니다. 

 

정책 시행 단계에서는 상위 노드에서 상속된 정책에 추가로 정책을 더하는거나 수정하는거라면 '상위 항목과 병합' 옵션을 선택하고, 상속된 정책은 빼고 지금 정책만 새롭게 적용하는거라면 '바꾸기' 옵션을 선택해줍니다. 

 

 

 

조직 정책을 설정하는 것은 크게 어렵지 않으나 어떤 제한조건인지 그 내용을 꼼꼼히 이해하고 적용하는 것이 가장 중요합니다.

아래 링크는 GCP의 조직 정책 제약조건을 정리한 구글 공식 문서이니 설정 전에 꼭 참고해주세요!

https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints?hl=ko

조직 정책 제약조건  |  Resource Manager Documentation  |  Google Cloud