# VPC SC의 Access Policy

VPC Service Contol 자체적으로 ACM과는 별개로 Access Policy를 가지고 있다.

https://cloud.google.com/access-context-manager/docs/create-access-policy#scoped-access-policy

 

문서를 보면, VPC SC에서 Folder 단위로 Aceess policy 설정이 가능한 것으로 나온다.

 

기본 Access Policy인 default_policy는 조직 레벨 단위로, 이것만 있어도 충분히 vpc sc 활용이 가능하다.

 

Access Policy 생성은 ACM이 아닌 VPC SC에서 생성이 가능하다.

 

Scope를 Folder나 Project로 설정이 가능한데, 1개 폴더 혹은 1개 프로젝트만 선택이 가능하다.

 

Scope를 지정하여 Access Policy를 생성한다.

 

하지만 이 자체로는 어떠한 제한이나 통제는 없다.

 

서비스 경계를 생성해야만 통제가 가능하다.

 

서비스 경계는 프로젝트 단위로만 제한이 가능하다.

 

- 각 Access Policy에 Project를 등록하면 우선순위가 있나?

이미 다른 Access policy에서 서비스 경계에 추가한 project를 경계에 추가는 불가능하다.

그러므로 이 질문자체는 성립되지 않는다. 1개의 project는 1개의 서비스 경계에만 등록이 가능하다.

생성을 진행하면 에러가 발생한다.

 

- 이미 생성한 Access Policy의 scope를 변경이 가능하나?

이미 생성한 Access Policy는 Scope 변경이 불가능하다.

삭제하고 다시 생성이 필요하다.

 

- 용도가 무엇인가?

특정 Folder나 Project 단위에 대해서만 구분하여 관리하고 싶을 때 사용.