Assured Workloads를 사용하면 네트워크와 사용자를 범위 내 민감한 정보에서 분리하는 논리적 제어를 구현하여 다양한 규정 준수 프레임워크를 준수할 수 있습니다. 많은 미국 규정 준수 프레임워크는 NIST SP 800-53 수정 버전 5를 기반으로 하지만 정보의 민감도와 프레임워크의 관리 기관에 따라 자체적으로 특정 제어 기능을 갖추게 됩니다. FedRAMP 높음 또는 DoD IL4를 준수해야 하는 고객의 경우 VPC 서비스 제어를 사용하여 규제 대상 환경 주변에 강력한 경계를 만드는 것이 좋습니다.
VPC 서비스 제어는 Identity and Access Management (IAM)과 별개로 Google Cloud서비스의 보안을 더욱 강화합니다. Identity and Access Management는 세분화된 ID 기반 액세스 제어를 지원하지만 VPC 서비스 제어는 경계 간 데이터 인그레스 및 이그레스 제어를 포함한 보다 광범위한 컨텍스트 기반 경계 보안을 지원합니다. VPC 서비스 제어 컨트롤은 조직 수준에서 관리되고 프로젝트 수준에서 적용 및 시행되는 Google Cloud API 주변의 논리적 경계입니다.
VPC 서비스 제어의 이점과 구성 단계에 대한 대략적인 개요는 VPC 서비스 제어 개요를 참고하세요. 규제 지침에 대한 자세한 내용은 컨트롤 ID SC-7을 참고하세요.
VPC 서비스 제어 페이지에서테스트 실행 모드를 선택합니다. 테스트 실행 모드 또는 시행 모드에서 만들 수 있지만 새로운 또는 업데이트된 서비스 경계에서 먼저 테스트 실행 모드를 사용하는 것이 좋습니다. 테스트 실행 모드를 사용하면 새 서비스 경계의 테스트 실행을 만들어 환경 내에서 시행하도록 선택하기 전에 성능을 확인할 수도 있습니다.
새 경계를 클릭합니다.
새 VPC 서비스 경계 페이지의 경계 이름 상자에 경계의 이름을 입력합니다.
세부정보 탭에서 원하는 경계 유형과 구성 유형을 선택합니다.
프로젝트 탭에서 서비스 경계에 포함할 프로젝트를 선택합니다. IL4 워크로드의 경우 Assured Workloads IL4 폴더 내에 있는 프로젝트여야 합니다.
제한된 서비스 탭에서 서비스 경계에 포함할 서비스를 추가합니다. Assured Workloads 폴더의 범위에 있는 서비스만 선택해야 합니다.
(선택사항) VPC 액세스 가능 서비스 탭에서 서비스 경계 내의 서비스가 서로 통신하지 못하도록 추가로 제한할 수 있습니다.
Assured Workloads는 Assured Workloads 범위 내에 있는 서비스를 Assured Workloads 폴더 내에 배포할 수 있도록 서비스 사용 제한을 가드레일로 구현합니다. 이러한 제어를 재정의하면 Assured Workloads 이외의 서비스가 워크로드와 통신하지 못하도록 제한하기 위해 VPC 액세스 가능 서비스를 구현해야 할 수 있습니다.
인그레스 정책을 클릭하여 다양한 ID와 리소스에서 허용되는 액세스의 방향을 지정하는 규칙을 하나 이상 설정합니다.
액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준은 리소스 또는 VM에서 경계 외부의 데이터 및 서비스에 액세스하도록 허용하는 데 사용할 수 없습니다. 규제 대상 데이터를 워크로드의 서비스 경계로 전송하기 위해 특정 서비스에 다른 ID의 서비스 메서드를 할당할 수 있습니다.
(선택사항) 이그레스 정책을 클릭하여 다양한 ID 및 리소스에 허용되는 액세스의 방향을 지정하는 규칙을 하나 이상 설정합니다.
액세스 수준은 보호된 리소스에서 서비스 경계 외부의 서비스에 대한 요청에만 적용됩니다.
저장을 클릭합니다.
Terraform에서 VPC 서비스 제어 사용
Assured Workloads 규제 대상 경계를 VPC 서비스 제어 경계에 맞춰 정렬하려는 경우 Terraform을 사용하여 Assured Workloads 폴더를 VPC 서비스 제어 허가와 동기화할 수 있습니다. 자세한 내용은 GitHub에서 자동 보호 폴더 Terraform 예시를 참조하세요.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[[["\u003cp\u003eVPC Service Controls provide an additional security layer for Google Cloud services, independent of Identity and Access Management (IAM), by enabling context-based perimeter security.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads helps users comply with regulatory frameworks, such as FedRAMP High and DoD IL4, by implementing controls that segment sensitive data, and VPC Service Controls is recommended to create a strong boundary around these regulated environments.\u003c/p\u003e\n"],["\u003cp\u003eVPC Service Controls manages a logical boundary around Google Cloud APIs at the organization level and enforces them at the project level, with the ability to control data ingress and egress across the perimeter.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring VPC Service Controls can be done via the Google Cloud console, gcloud CLI, or Access Context Manager APIs, with the recommendation to initially use the Dry run mode to test new or updated service perimeters.\u003c/p\u003e\n"],["\u003cp\u003eService perimeters can be configured to include specific projects and services, and to further restrict communication between services within the perimeter through VPC Accessible Services, as well as through ingress and egress policies.\u003c/p\u003e\n"]]],[],null,["# Configure VPC Service Controls for Assured Workloads\n====================================================\n\nOverview\n--------\n\nAssured Workloads helps you comply with different regulatory compliance\nframeworks by implementing logical controls that segment networks and users from\nin-scope sensitive data. Many of the US compliance frameworks are built upon\n[NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final),\nbut have their own particular controls based on the sensitivity of the\ninformation and the framework's governing body. For customers who must comply\nwith [FedRAMP High](/assured-workloads/docs/control-packages#fedramp-high)\nor [DoD IL4](/assured-workloads/docs/control-packages#il4), we\nrecommend that you use VPC Service Controls to create a strong boundary around\nthe regulated environment.\n\nVPC Service Controls provides an extra layer of security defense for Google Cloud\nservices that is independent of Identity and Access Management (IAM). While\nIdentity and Access Management enables granular identity-based access control, VPC Service Controls\nenables broader context-based perimeter security, such as controlling data\ningress and egress across the perimeter. The controls VPC Service Controls are a\nlogical boundary around Google Cloud APIs that are managed at the\n[organization level](/resource-manager/docs/cloud-platform-resource-hierarchy#organizations)\nand applied and enforced at the\n[project level](/resource-manager/docs/cloud-platform-resource-hierarchy#projects).\nFor a high-level overview of VPC Service Controls benefits and configuration\nstages, please see the\n[VPC Service Controls overview](/vpc-service-controls/docs/overview#benefits). For\nmore information about the regulatory guidance, see\n[Control ID SC-7](https://csrc.nist.gov/Projects/risk-management/sp800-53-controls/release-search#/control?version=5.1&number=SC-7).\n\nBefore you begin\n----------------\n\n- Ensure that you've read and understand the purpose and usage of [VPC Service Controls](/vpc-service-controls/docs/overview) and its [service perimeters](/vpc-service-controls/docs/service-perimeters).\n- Read about how access control in [VPC Service Controls works with IAM](/vpc-service-controls/docs/access-control).\n- If you want to configure external access to your protected services when you create your perimeter, first [create one or more access levels](/access-context-manager/docs/create-access-level) before you create the perimeter.\n- Ensure that the Google Cloud services and their resources are [in scope for IL4](/security/compliance/disa) or [in scope for FedRAMP High](/security/compliance/fedramp) and are [supported by VPC Service Controls](/vpc-service-controls/docs/supported-products).\n\nConfigure VPC Service Controls for Assured Workloads\n----------------------------------------------------\n\nTo configure VPC Service Controls, you can use the Google Cloud console, the\nGoogle Cloud CLI (gcloud CLI), or the\n[Access Context Manager APIs](/access-context-manager/docs/reference/rest). The\nfollowing steps show you how to use the Google Cloud console. \n\n### Console\n\n1. In the Google Cloud console navigation menu, click **Security** , and then\n click **VPC Service Controls**.\n\n [Go to the VPC Service Controls page](https://console.cloud.google.com/security/service-perimeter)\n2. If you are prompted, select your organization, folder, or project.\n\n3. On the **VPC Service Controls** page, select the *Dry run mode* . While you\n can create in either a *Dry run mode* or an *Enforced mode* , we recommend\n using the *Dry run mode* first for either a new or updated service\n perimeter. *Dry run mode* will also allow you to create a test run of your\n new service perimeter to see how it performs before you choose to enforce\n it within your environment.\n\n4. Click **New perimeter**.\n\n5. On the **New VPC Service Perimeter** page, in the **Perimeter Name** box,\n type a name for the perimeter.\n\n6. In the **Details** tab, select the desired perimeter type and configuration\n type.\n\n7. In the **Projects** tab, select the projects that you want to include\n within the service perimeter boundary. For your IL4 workloads, these should\n be the projects that are within your Assured Workloads IL4 folder.\n\n | **Note:** At this time, you can only select projects (and not folders) when setting up a service perimeter.\n8. In the **Restricted Services** tab, add services to include within the\n service perimeter boundary. You should only select services that are in\n scope for your Assured Workloads folder.\n\n9. (Optional) In the **VPC Accessible Services** tab, you can further restrict\n services within your service perimeter from communicating with each other.\n Assured Workloads will implement\n [Service Usage Restrictions](/assured-workloads/docs/restrict-resource-usage)\n as a guardrail to ensure that services scoped to Assured Workloads\n can be deployed within your Assured Workloads folder. If you have\n overridden these controls, then you may need to implement\n *VPC Accessible Services* to restrict non-Assured Workloads\n services from communicating with your workloads.\n\n10. Click **Ingress Policy** to set one or more rules that specify the\n direction of allowed access from different identities and resources.\n [Access levels](/vpc-service-controls/docs/use-access-levels) only apply\n to requests for protected resources coming from outside the service\n perimeter. Access levels cannot be used to permit protected resources or\n VMs to access data and services outside the perimeter. You can to assign\n an identity different service methods to specific services in order to\n transfer regulated data into your workload's service perimeter.\n\n11. (Optional) Click **Egress Policy** to set one or more rules that specify\n the direction of allowed access to different identities and resources.\n [Access levels](/vpc-service-controls/docs/use-access-levels) only apply to\n requests from protected resources to services outside the service\n perimeter.\n\n12. Click **Save**.\n\nUse VPC Service Controls with Terraform\n---------------------------------------\n\nYou can use the Terraform to synchronize your Assured Workloads folder\nwith a VPC Service Controls permit if you want your Assured Workloads\nregulated boundary to be aligned with your VPC Service Controls boundary. For more\ninformation, see the\n[Automatically Secured Folder Terraform example on GitHub](https://github.com/terraform-google-modules/terraform-google-vpc-service-controls/tree/master/examples/automatic_folder).\n\nWhat's next\n-----------\n\n- Learn about the [FedRAMP High control package](/assured-workloads/docs/control-packages#fedramp-high).\n- Learn about the [IL4 control package](/assured-workloads/docs/control-packages#il4)."]]