EU 리전 및 주권 제어 지원 환경의 제한사항 및 한계
이 페이지에서는 EU 리전 및 주권 제어 지원 환경을 사용할 때의 제한사항, 한계, 기타 구성 옵션을 설명합니다.
개요
EU 리전 및 주권 제어 지원 환경은 지원되는 Google Cloud 서비스에 대해 데이터 상주 및 데이터 주권 기능을 제공합니다. 이러한 기능을 제공하기 위해 해당 서비스 기능 중 일부는 제한됩니다. 대부분의 변경사항은 온보딩 프로세스 중에 EU 리전 및 주권 제어 지원 환경에서 새 폴더 또는 프로젝트를 만들 때 적용되지만 일부는 나중에 조직 정책을 수정하여 변경할 수 있습니다.
이러한 제한사항이 특정 Google Cloud 서비스의 동작을 수정하거나 데이터 주권 또는 데이터 상주에 영향을 미치는 방식을 이해하는 것이 중요합니다. 예를 들어 데이터 주권 및 데이터 상주를 유지하기 위해 일부 기능을 자동으로 사용 중지할 수 있습니다. 또한 조직 정책 설정이 변경되면 한 리전에서 다른 리전으로 데이터를 복사하는 의도하지 않은 결과가 발생할 수 있습니다.
지원 제품 및 서비스
EU 리전 및 주권 제어 지원 환경에서 지원되는 제품 및 서비스 목록은 지원 제품 페이지를 참조하세요.
조직 정책
이 섹션에서는 EU 리전 및 주권 제어 지원 환경을 사용하여 폴더 또는 프로젝트를 생성할 때 기본 조직 정책 제약조건 값이 각 서비스에 영향을 미치는 방법을 설명합니다. 적용 가능한 다른 제약조건은 기본적으로 설정되지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 '심층 방어' 기능을 추가로 제공할 수 있습니다.
클라우드 전체의 조직 정책 제약조건
다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.
조직 정책 제약조건 | 설명 |
---|---|
gcp.resourceLocations |
in:eu-locations 을(를) allowedValues 목록 항목으로 설정합니다.이 값은 새 리소스 생성을 EU 값 그룹만으로 제한합니다. 설정하면 EU 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참조하세요. 이 값을 덜 제한적인 값으로 변경하면 데이터가 EU 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 주권과 데이터 상주 모두 훼손될 수 있습니다. 예를 들어 in:eu-locations 값 그룹을 EU 비회원국 위치를 포함하는 in:europe-locations 값 그룹으로 바꿉니다.
|
gcp.restrictNonCmekServices |
다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다.
나열된 각 서비스에는 고객 관리 암호화 키(CMEK)가 필요합니다. CMEK를 사용하면 저장 데이터는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 암호화됩니다. 목록에서 지원되는 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다. |
gcp.restrictCmekCryptoKeyProjects |
사용자는 EU 리전 및 주권 제어 지원 환경에 사용할 프로젝트 또는 폴더에 이 값을 설정할 수 있습니다. 예를 들면 under:folders/my-folder-name 입니다.
CMEK를 사용하여 저장 데이터를 암호화하기 위해 KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 지원되는 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다. |
Compute Engine 조직 정책 제약조건
조직 정책 제약조건 | 설명 |
---|---|
compute.enableComplianceMemoryProtection |
True로 설정합니다. 인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다. 이 값을 변경하면 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
compute.disableInstanceDataAccessApis
| True로 설정합니다.instances.getSerialPortOutput() 및 instances.getScreenshot() API를 전역적으로 사용 중지합니다. |
compute.restrictNonConfidentialComputing |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참조하세요. |
compute.trustedImageProjects |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다.
이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다. |
Cloud Storage 조직 정책 제약조건
조직 정책 제약조건 | 설명 |
---|---|
storage.uniformBucketLevelAccess |
True로 설정합니다. 새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록(ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다. 이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다. |
Google Kubernetes Engine 조직 정책 제약조건
조직 정책 제약조건 | 설명 |
---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True로 설정합니다. 워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 비활성화하는 데 사용됩니다. 이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다. |
Cloud Key Management Service 조직 정책 제약조건
조직 정책 제약조건 | 설명 |
---|---|
cloudkms.allowedProtectionLevels |
EXTERNAL 로 설정합니다.생성될 수 있는 Cloud Key Management Service CryptoKey 유형을 제한하고 외부 키 유형만 허용하도록 설정됩니다. |
영향을 받는 기능
이 섹션에는 각 서비스의 기능이 EU 리전 및 주권 제어 지원 환경에서 어떻게 영향을 받는지 설명합니다.
BigQuery 특징
기능 | 설명 |
---|---|
새 폴더에서 BigQuery 사용 설정 | BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.
사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다. BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다. |
지원되지 않는 기능 | 다음 BigQuery 기능은 지원되지 않으며 BigQuery CLI에서 사용되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 BigQuery에서 해당 기능을 사용하지 않아야 합니다.
|
지원되지 않는 통합 | 다음 BigQuery 통합은 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 BigQuery에서 이를 사용하지 않아야 합니다.
|
지원되는 BigQuery API | 다음 BigQuery API가 지원됩니다. |
리전 | BigQuery는 EU 멀티 리전을 제외한 모든 BigQuery EU 리전에서 지원됩니다. 데이터 세트를 EU 멀티 리전, EU외 리전, EU외 멀티 리전에 만든 경우에는 규정 준수를 보장할 수 없습니다. BigQuery 데이터 세트를 만들 때는 규정을 준수하는 리전을 지정해야 합니다. 하나의 EU 리전을 사용하여 테이블 데이터 목록 요청이 전송되었지만 데이터 세트가 다른 EU 리전에서 생성된 경우 BigQuery는 의도한 리전을 추론할 수 없으며 '데이터 세트를 찾을 수 없음' 오류 메시지가 표시되면서 작업이 실패합니다. |
Google Cloud 콘솔 | Google Cloud 콘솔에서는 BigQuery 사용자 인터페이스가 지원됩니다.
|
BigQuery CLI | BigQuery CLI가 지원됩니다.
|
Google Cloud SDK | 기술 데이터에 대한 데이터 리전화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 gcloud --version 을 실행한 다음 gcloud components update 를 실행하여 최신 버전으로 업데이트합니다.
|
관리자 통제 기능 | BigQuery는 지원되지 않는 API를 사용 중지하지만 Assured Workloads 폴더 생성 권한이 충분한 관리자가 지원되지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 잠재적인 규정 미준수 알림이 표시됩니다. |
데이터 로드 | Google Software as a Service(SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경에서는 BigQuery Data Transfer Service 커넥터를 사용하지 않아야 합니다. |
타사 전송 | BigQuery는 BigQuery Data Transfer Service의 타사 전송 지원을 확인하지 않습니다. BigQuery Data Transfer Service의 타사 전송을 사용할 때는 지원되는지 확인해야 합니다. |
규정 미준수 BQML 모델 | 외부에서 학습된 BQML 모델은 지원되지 않습니다. |
쿼리 작업 | 쿼리 작업은 EU 리전 및 주권 제어 지원 환경 폴더 내에서만 만들어야 합니다. |
다른 프로젝트의 데이터 세트 쿼리 | BigQuery는 EU 리전 및 주권 제어 지원 환경의 데이터 세트가 비EU 리전 및 주권 제어 지원 환경 프로젝트에서 쿼리되지 않도록 방지하지 않습니다. EU 리전 및 주권 제어 지원 환경 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리는 EU 리전 및 주권 제어 지원 환경 폴더에 배치되어야 합니다. BigQuery CLI에서 projectname.dataset.table 을 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다. |
Cloud Logging | BigQuery는 일부 로그 데이터에 대해 Cloud Logging을 활용합니다.
_default 로깅 버킷을 중지하거나 규정 준수를 유지하려면 다음 명령어를 사용하여 _default 버킷을 EU 리전으로 제한해야 합니다.gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink 자세한 내용은 이 페이지를 참조하세요. |
Bigtable 기능
기능 | 설명 |
---|---|
지원되지 않는 기능 | 다음 Bigtable 기능과 API 메서드는 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 Bigtable에서 해당 기능 및 메서드를 사용하지 않아야 합니다.
|
분할 경계 | Bigtable은 row key의 소규모 하위 집합을 사용하여 고객 데이터 및 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Bigtable의 분할 경계는 테이블에서 연속된 행 범위가 테이블로 분할되는 위치를 나타냅니다. 이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 EU 리전 및 주권 제어 지원 환경의 관리 액세스 데이터 제어가 적용되지 않습니다. |
Spanner 기능
기능 | 설명 |
---|---|
분할 경계 | Spanner는 기본 키와 색인이 생성된 열의 소규모 하위 집합을 사용하여 고객 데이터와 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Spanner의 분할 경계는 연속적인 행 범위가 더 작은 조각으로 분할되는 위치를 나타냅니다. 이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 EU 리전 및 주권 제어 지원 환경의 관리 액세스 데이터 제어가 적용되지 않습니다. |
Dataproc 기능
기능 | 설명 |
---|---|
Google Cloud 콘솔 | Dataproc은 현재 관할권의 Google Cloud 콘솔을 지원하지 않습니다. 데이터 상주를 적용하려면 Dataproc를 사용할 때 Google Cloud CLI 또는 API를 사용해야 합니다. |
GKE 기능
기능 | 설명 |
---|---|
클러스터 리소스 제한사항 | 클러스터 구성이 EU 리전 및 주권 제어 지원 환경에서 지원되지 않는 서비스에 대해 리소스를 사용하지 않는지 확인합니다. 예를 들어 다음 구성은 지원되지 않는 서비스를 사용 설정하거나 사용해야 하므로 잘못되었습니다.
set `binaryAuthorization.evaluationMode` to `enabled`
|
Cloud Logging 기능
고객 관리 암호화 키(CMEK)로 Cloud Logging을 사용하려면 Cloud Logging 문서의 조직에 CMEK 사용 설정 페이지의 단계를 완료해야 합니다.
기능 | 설명 |
---|---|
로그 싱크 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
실시간 테일링 로그 항목 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
로그 기반 알림 | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 로그 기반 알림을 만들 수 없습니다. |
로그 탐색기 쿼리의 단축된 URL | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리의 단축된 URL을 만들 수 없습니다. |
로그 탐색기에 쿼리 저장 | 이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리를 저장할 수 없습니다. |
BigQuery를 사용한 로그 애널리틱스 | 이 기능은 사용 중지되었습니다. 로그 애널리틱스 기능을 사용할 수 없습니다. |
Compute Engine 기능
기능 | 설명 |
---|---|
VM 인스턴스 정지 및 재개 | 이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
|
로컬 SSD | 이 기능은 사용 중지되었습니다. 로컬 SSD는 현재 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
|
게스트 환경 |
게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다.
VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참조하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.
자세한 내용은 커스텀 이미지 빌드 페이지를 참조하세요. |
instances.getSerialPortOutput() |
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 또한 이 페이지의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수 있습니다.
|
instances.getScreenshot() |
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 또한 이 페이지의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수 있습니다.
|