이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VPC 서비스 제어를 구성합니다.

이 페이지에서는 AlloyDB와 통합되어 데이터와 리소스를 보호하는 Google Cloud 기능인 VPC 서비스 제어에 대해 간략히 설명합니다.

VPC 서비스 제어를 사용하면 AlloyDB 인스턴스에서 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 서비스 경계를 만들 수 있습니다.

VPC 서비스 제어, 보안 이점, Google Cloud 제품 전반의 기능에 관한 일반적인 개요는 VPC 서비스 제어 개요를 참고하세요.

시작하기 전에

Google Cloud 콘솔에서 프로젝트 선택 도구 페이지로 이동합니다.

프로젝트 선택기로 이동
Google Cloud 프로젝트를 선택하거나 만듭니다.
참고: 이 절차에서 생성한 리소스를 유지하지 않으려면 기존 프로젝트를 선택하지 말고 프로젝트를 새로 만드세요. 작업이 끝나면 프로젝트를 삭제하여 프로젝트와 관련된 모든 리소스를 삭제할 수 있습니다.
Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다. 프로젝트에 결제가 사용 설정되어 있는지 확인하는 방법을 알아보세요.
Compute Engine API를 사용 설정합니다.
Compute Engine API 사용 설정
Service Networking API를 사용 설정합니다.
Service Networking API 사용 설정
VPC 서비스 제어를 설정하고 관리하는 데 사용하는 사용자 또는 서비스 계정에 Identity and Access Management (IAM) 역할을 추가합니다. 자세한 내용은 VPC 서비스 제어를 관리하는 IAM 역할을 참고하세요.
AlloyDB에서 VPC 서비스 제어를 사용할 때 제한사항을 검토합니다.

VPC 서비스 제어를 사용하여 AlloyDB 서비스를 보호하는 방법

시작하기 전에 VPC 서비스 제어 개요 및 VPC 서비스 제어 사용 시 AlloyDB 제한사항을 검토하세요.

AlloyDB 프로젝트에 VPC 서비스 제어를 구성하는 단계는 다음과 같습니다.

서비스 경계 만들기 및 관리하기

먼저 VPC 서비스 경계가 보호할 AlloyDB 프로젝트를 선택한 다음 서비스 경계를 만들고 관리합니다.
액세스 수준 만들기 및 관리

원하는 경우 경계 내의 보호된 리소스에 대한 외부 액세스를 허용하려면 액세스 수준을 사용할 수 있습니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준을 사용하여 보호된 리소스 또는 VM에 경계 외부의 데이터 및 서비스에 액세스할 수 있는 권한을 부여할 수 없습니다.

서비스 경계 만들기 및 관리

서비스 경계를 만들고 관리하려면 다음 단계를 완료하세요.

VPC 서비스 경계가 보호할 AlloyDB 프로젝트를 선택합니다.
서비스 경계 만들기의 안내에 따라 서비스 경계를 만듭니다.
서비스 경계에 인스턴스를 추가합니다. 기존 AlloyDB 인스턴스를 경계에 추가하려면 서비스 경계 업데이트의 안내를 따르세요.
서비스 경계에 API를 추가합니다. AlloyDB에서 데이터가 유출될 위험을 완화하려면 AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, Cloud KMS API를 제한해야 합니다. 자세한 내용은 access-context-manager perimeters update를 참고하세요.

API를 제한된 서비스로 추가하려면 다음 단계를 따르세요.
콘솔
1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.
  VPC 서비스 제어로 이동
2. VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.
3. 수정을 클릭합니다.
4. VPC 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.
5. AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, Cloud KMS API를 추가합니다.
6. 저장을 클릭합니다.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: 경계의 ID 또는 경계의 정규화된 식별자입니다.
- POLICY_ID: 액세스 정책의 ID입니다.
고급 쿼리 통계를 사용 설정한 경우 databaseinsights.googleapis.com API를 제한된 서비스로 서비스 경계에 추가합니다.
콘솔
1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.
  VPC 서비스 제어로 이동
2. VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.
3. 수정을 클릭합니다.
4. VPC 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.
5. databaseinsights.googleapis.com을 추가합니다.
6. 저장을 클릭합니다.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: 경계의 ID 또는 경계의 정규화된 식별자입니다.
- POLICY_ID: 액세스 정책의 ID입니다.

액세스 수준 만들기 및 관리

액세스 수준을 만들고 관리하려면 서비스 경계 외부에서 보호된 리소스에 액세스 허용의 안내를 따르세요.