VPC 서비스 제어를 사용하면 Apigee Integration Google Cloud 서비스 주위에 보안 경계를 정의할 수 있습니다. 서비스 주위의 보안 경계를 사용하면 VPC 내의 데이터를 제한하고 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어에 대해 익숙하지 않은 경우 다음 정보를 살펴보는 것이 좋습니다.
이 문서에서는 Apigee Integration 서비스의 VPC 서비스 제어 경계를 설정하는 방법을 설명합니다. 경계를 설정한 후 Apigee Integration 서비스에 액세스할 수 있는 다른 Google Cloud 서비스와 반대로 Apigee Integration 서비스(integrations.googleapis.com)가 액세스할 수 있는 서비스를 결정하는 이그레스 및 인그레스 정책을 구성할 수 있습니다.
시작하기 전에
서비스 경계를 구성하는 데 필요한 권한이 있는지 확인합니다. VPC 서비스 제어를 구성하는 데 필요한 IAM 역할 목록을 보려면 VPC 서비스 제어 문서의 IAM으로 액세스 제어를 참조하세요.
VPC 서비스 경계 만들기
VPC 서비스 경계를 만들기 위해 Google Cloud console, gcloud 명령어 또는 accessPolicies.servicePerimeters.create API를 사용할 수 있습니다.
자세한 내용은 서비스 경계 만들기를 참조하세요.
gcloud 명령어를 사용하여 사용자에게 액세스 권한을 제공하는 VPC 서비스 제어 경계를 만들려면 다음 명령어를 실행합니다.
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
다음을 바꿉니다.
PERIMETER_TITLE: VPC 서비스 제어 경계의 이름입니다.PROJECT_ID: VPC 서비스 제어 경계를 추가하려는 프로젝트입니다.
위 명령어를 완료하는 데 다소 시간이 걸립니다. VPC 서비스 제어 경계는 Apigee Integration 서비스를 사용할 때 프로젝트의 통합 서비스를 제한합니다.
모든 IP 주소, 서비스 계정 또는 사용자가 Apigee Integration을 사용하도록 허용하려면 인그레스 및 이그레스 규칙을 사용합니다. VPC 서비스 제어는 인그레스 규칙과 이그레스 규칙을 사용하여 서비스 경계로 보호되는 리소스와 클라이언트의 액세스를 허용합니다.
기존 서비스 경계에 이그레스 정책 추가
기존 서비스 경계에 이그레스 정책을 추가하려면 gcloud access-context-manager perimeters update 명령어를 사용합니다. 예를 들어 다음 명령어는 vpcsc-egress.yaml 파일에서 정의된 이그레스 정책을 integrationPerimeter라는 기존 서비스 경계에 추가합니다.
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
이그레스 정책과 마찬가지로 인그레스 정책도 정의할 수 있습니다. 인그레스 규칙 지정에 대해 자세히 알아보려면 인그레스 규칙 참조를 확인하세요.
경계 검증
경계를 검증하려면 gcloud access-context-manager perimeters describe PERIMETER_NAME 명령어를 사용합니다. 예를 들어 다음 명령어는 integrationPerimeter 경계를 설명합니다.
gcloud access-context-manager perimeters describe integrationPerimeter
서비스 경계 관리에 대한 자세한 내용은 서비스 경계 관리를 참조하세요.
고려사항
Apigee Integration 서비스에 VPC 서비스 경계를 사용 설정한 경우 통합에서 다음 작업을 사용할 수 없습니다.