VPC Service Controls은 조직, 폴더 또는 프로젝트 수준에서 서비스 경계(Service Perimeter)를 지정할 수 있습니다.

또한 액세스 정책(Access Policy)이란 개념이 있는데, 이는 서비스 경계를 정의하는 Google Cloud 리소스 객체입니다.

정리하자면 액세스 정책에서 정책에 포함할 리소스 범위(프로젝트 또는 폴더)를 지정한 후, VPC Service Control은 해당 정책 내에 서비스 경계를 정의합니다.

폴더 리소스에 대해 작업 시 폴더 단위의 액세스 정책이 필요하며, default policy는 폴더 단위가 아니기에 오류가 발생할 수 있습니다.

아래 가이드와 같이 액세스 정책과 서비스 경계를 새로 정의하시어 폴더로의 단위의 액세스 정책을 설정할 수 있습니다.

아래와 같이 폴더 리소스가 존재하는 조직에서 VPC Service Control을 사용하는 것으로 가정합니다.

1) Access Context Manager에서 폴더 레벨의 액세스 수준을 새로 생성합니다.

2) 조직 레벨에서 액세스 정책을 새로 생성합니다. 

   Security > VPC Service Controls > MANAGE POLICIES > CREATE 클릭 후 Select resources to include in the policy > ADD FOLDER에서 폴더를 선택합니다.

3) 생성한 액세스 정책으로 스위칭한 후, 서비스 경계를 생성합니다.

생성 시 5번의 액세스 수준 항목은 1.에서 생성한 폴더 레벨의 액세스 수준을 선택합니다.

※ 새 서비스 경계 생성 시 지정한 프로젝트가 기존의 서비스 경계의 범위와 중첩될 경우 서비스 경계 생성이 되지 않습니다.

※ 따라서 폴더로의 예약 할당을 가능하게 하시려면 기존의 default policy에 정의된 서비스 경계를 삭제하거나 해당 프로젝트를 기존 서비스 경계에서 제외해야 합니다.

위와 같이 설정 시 D6-Non-Prod-Host-Project(프로젝트)에서 folder1(폴더)로 작업 시 에러가 발생하지 않고 성공됨을 확인할 수 있습니다.

서비스 경계를 바로 생성(시행 모드)하시기 보다 테스트 실행 모드에서 영향을 미리 확인하시기를 권장 드립니다.