서비스 경계에서 저장소 보호

VPC 서비스 제어는 Google 관리형 서비스에서 데이터를 무단으로 복사하거나 전송하는 위험을 완화하는 기능을 개선합니다.

VPC 서비스 제어를 사용하면 Google 관리형 서비스의 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다.

VPC 서비스 제어로 Artifact Registry 사용

서비스 경계 내 프로젝트에서 Artifact Registry와 Google Kubernetes Engine 비공개 클러스터를 사용하는 경우 서비스 경계 내부의 컨테이너 이미지와 Google 제공 이미지에 액세스할 수 있습니다.

mirror.gcr.io에 저장된 캐시된 Docker Hub 이미지는 Artifact Registry가 경계에 있고 Container Registry도 경계에 없으면 서비스 경계에 포함되지 않습니다.

기본 Google API 및 서비스 도메인의 IP 주소나 다음과 같은 특수 IP 주소를 사용하여 Artifact Registry에 액세스할 수 있습니다.

  • 199.36.153.4/30(restricted.googleapis.com)
  • 199.36.153.8/30(private.googleapis.com)

이러한 옵션에 대한 자세한 내용은 비공개 Google 액세스 구성을 참조하세요. 199.36.153.4/30(restricted.googleapis.com)을 사용하는 구성 예시는 가상 IP로 레지스트리 액세스 문서를 참조하세요.

Artifact Registry에 액세스해야 하는 Google Cloud 서비스가 Binary Authorization, 컨테이너 분석, 런타임 환경(예: Google Kubernetes Engine 및 Cloud Run)을 포함한 서비스 경계 내에 있는지 확인합니다. 각 서비스에 대한 자세한 내용은 지원 서비스 목록을 참조하세요.

Artifact Registry를 서비스 경계에 추가하는 방법에 대한 일반적인 안내는 서비스 경계 만들기를 참조하세요.

VPC 서비스 제어를 사용하여 컨테이너 분석 사용

컨테이너 분석을 경계에 추가하는 방법을 알아보려면 서비스 경계에서 컨테이너 분석 보호를 참조하세요.