EU 리전 및 주권 제어 지원 환경의 제한사항 및 한계

이 페이지에서는 EU 리전 및 주권 제어 지원 환경을 사용할 때의 제한사항, 한계, 기타 구성 옵션을 설명합니다.

개요

EU 리전 및 주권 제어 지원 환경은 지원되는 Google Cloud 서비스에 대해 데이터 상주 및 데이터 주권 기능을 제공합니다. 이러한 기능을 제공하기 위해 해당 서비스 기능 중 일부는 제한됩니다. 대부분의 변경사항은 온보딩 프로세스 중에 EU 리전 및 주권 제어 지원 환경에서 새 폴더 또는 프로젝트를 만들 때 적용되지만 일부는 나중에 조직 정책을 수정하여 변경할 수 있습니다.

이러한 제한사항이 특정 Google Cloud 서비스의 동작을 수정하거나 데이터 주권 또는 데이터 상주에 영향을 미치는 방식을 이해하는 것이 중요합니다. 예를 들어 데이터 주권 및 데이터 상주를 유지하기 위해 일부 기능을 자동으로 사용 중지할 수 있습니다. 또한 조직 정책 설정이 변경되면 한 리전에서 다른 리전으로 데이터를 복사하는 의도하지 않은 결과가 발생할 수 있습니다.

지원 제품 및 서비스

EU 리전 및 주권 제어 지원 환경에서 지원되는 제품 및 서비스 목록은 지원 제품 페이지를 참조하세요.

조직 정책

이 섹션에서는 EU 리전 및 주권 제어 지원 환경을 사용하여 폴더 또는 프로젝트를 생성할 때 기본 조직 정책 제약조건 값이 각 서비스에 영향을 미치는 방법을 설명합니다. 적용 가능한 다른 제약조건은 기본적으로 설정되지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 '심층 방어' 기능을 추가로 제공할 수 있습니다.

클라우드 전체의 조직 정책 제약조건

다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.

조직 정책 제약조건 설명
gcp.resourceLocations in:eu-locations을(를) allowedValues 목록 항목으로 설정합니다.

이 값은 새 리소스 생성을 EU 값 그룹만으로 제한합니다. 설정하면 EU 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참조하세요.

이 값을 덜 제한적인 값으로 변경하면 데이터가 EU 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 주권과 데이터 상주 모두 훼손될 수 있습니다. 예를 들어 in:eu-locations 값 그룹을 EU 비회원국 위치를 포함하는 in:europe-locations 값 그룹으로 바꿉니다.
gcp.restrictNonCmekServices 다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다.
  • compute.googleapis.com
  • container.googleapis.com
  • storage.googleapis.com
위에 나열된 각 서비스의 기능 중 일부가 영향을 받을 수 있습니다. 아래의 영향을 받는 기능을 참조하세요.

나열된 각 서비스에는 고객 관리 암호화 키(CMEK)가 필요합니다. CMEK를 사용하면 저장 데이터는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 암호화됩니다.

목록에서 지원되는 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다.
gcp.restrictCmekCryptoKeyProjects 사용자는 EU 리전 및 주권 제어 지원 환경에 사용할 프로젝트 또는 폴더에 이 값을 설정할 수 있습니다. 예를 들면 under:folders/my-folder-name입니다.

CMEK를 사용하여 저장 데이터를 암호화하기 위해 KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 지원되는 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다.

Compute Engine 조직 정책 제약조건

조직 정책 제약조건 설명
compute.enableComplianceMemoryProtection True로 설정합니다.

인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다.

이 값을 변경하면 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
compute.disableInstanceDataAccessApis True로 설정합니다.

instances.getSerialPortOutput()instances.getScreenshot() API를 전역적으로 사용 중지합니다.

compute.restrictNonConfidentialComputing

(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참조하세요.

compute.trustedImageProjects

(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다.

이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다.

Cloud Storage 조직 정책 제약조건

조직 정책 제약조건 설명
storage.uniformBucketLevelAccess True로 설정합니다.

새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록(ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다.

이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다.

Google Kubernetes Engine 조직 정책 제약조건

조직 정책 제약조건 설명
container.restrictNoncompliantDiagnosticDataAccess True로 설정합니다.

워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 비활성화하는 데 사용됩니다.

이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.

Cloud Key Management Service 조직 정책 제약조건

조직 정책 제약조건 설명
cloudkms.allowedProtectionLevels EXTERNAL로 설정합니다.

생성될 수 있는 Cloud Key Management Service CryptoKey 유형을 제한하고 외부 키 유형만 허용하도록 설정됩니다.

영향을 받는 기능

이 섹션에는 각 서비스의 기능이 EU 리전 및 주권 제어 지원 환경에서 어떻게 영향을 받는지 설명합니다.

BigQuery 특징

기능 설명
새 폴더에서 BigQuery 사용 설정 BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.
  1. Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.

    Assured Workloads로 이동

  2. 목록에서 새 Assured Workloads 폴더를 선택합니다.
  3. 허용된 서비스 섹션의 폴더 세부정보 페이지에서 사용 가능한 업데이트 검토를 클릭합니다.
  4. 허용된 서비스 창에서 폴더에 대해 리소스 사용량 제한 조직 정책에 추가할 서비스를 검토합니다. BigQuery 서비스가 나열되면 서비스 허용을 클릭하여 추가합니다.

    BigQuery 서비스가 나열되지 않았으면 내부 프로세스가 완료될 때까지 기다립니다. 폴더를 만든 지 12시간 내에 서비스가 나열되지 않으면 Cloud Customer Care에 문의하세요.

사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다.

BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다.

지원되지 않는 기능 다음 BigQuery 기능은 지원되지 않으며 BigQuery CLI에서 사용되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 BigQuery에서 해당 기능을 사용하지 않아야 합니다.
지원되지 않는 통합 다음 BigQuery 통합은 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 BigQuery에서 이를 사용하지 않아야 합니다.
  • Data Catalog APICreateTag, SearchCatalog, Bulk tagging, Business Glossary API 메서드는 기술 데이터를 지원되지 않는 방식으로 처리하고 저장할 수 있습니다. EU 리전 및 주권 제어 지원 환경의 경우 이러한 메서드를 사용하지 않아야 합니다.
지원되는 BigQuery API 다음 BigQuery API가 지원됩니다.


리전 BigQuery는 EU 멀티 리전을 제외한 모든 BigQuery EU 리전에서 지원됩니다. 데이터 세트를 EU 멀티 리전, EU외 리전, EU외 멀티 리전에 만든 경우에는 규정 준수를 보장할 수 없습니다. BigQuery 데이터 세트를 만들 때는 규정을 준수하는 리전을 지정해야 합니다.

하나의 EU 리전을 사용하여 테이블 데이터 목록 요청이 전송되었지만 데이터 세트가 다른 EU 리전에서 생성된 경우 BigQuery는 의도한 리전을 추론할 수 없으며 '데이터 세트를 찾을 수 없음' 오류 메시지가 표시되면서 작업이 실패합니다.
Google Cloud 콘솔 Google Cloud 콘솔에서는 BigQuery 사용자 인터페이스가 지원됩니다.

BigQuery CLI BigQuery CLI가 지원됩니다.

Google Cloud SDK 기술 데이터에 대한 데이터 리전화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 gcloud --version을 실행한 다음 gcloud components update를 실행하여 최신 버전으로 업데이트합니다.
관리자 통제 기능 BigQuery는 지원되지 않는 API를 사용 중지하지만 Assured Workloads 폴더 생성 권한이 충분한 관리자가 지원되지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 잠재적인 규정 미준수 알림이 표시됩니다.
데이터 로드 Google Software as a Service(SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경에서는 BigQuery Data Transfer Service 커넥터를 사용하지 않아야 합니다.
타사 전송 BigQuery는 BigQuery Data Transfer Service의 타사 전송 지원을 확인하지 않습니다. BigQuery Data Transfer Service의 타사 전송을 사용할 때는 지원되는지 확인해야 합니다.
규정 미준수 BQML 모델 외부에서 학습된 BQML 모델은 지원되지 않습니다.
쿼리 작업 쿼리 작업은 EU 리전 및 주권 제어 지원 환경 폴더 내에서만 만들어야 합니다.
다른 프로젝트의 데이터 세트 쿼리 BigQuery는 EU 리전 및 주권 제어 지원 환경의 데이터 세트가 비EU 리전 및 주권 제어 지원 환경 프로젝트에서 쿼리되지 않도록 방지하지 않습니다. EU 리전 및 주권 제어 지원 환경 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리는 EU 리전 및 주권 제어 지원 환경 폴더에 배치되어야 합니다. BigQuery CLI에서 projectname.dataset.table을 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다.
Cloud Logging BigQuery는 일부 로그 데이터에 대해 Cloud Logging을 활용합니다. _default 로깅 버킷을 중지하거나 규정 준수를 유지하려면 다음 명령어를 사용하여 _default 버킷을 EU 리전으로 제한해야 합니다.

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

자세한 내용은 이 페이지를 참조하세요.

Bigtable 기능

기능 설명
지원되지 않는 기능 다음 Bigtable 기능과 API 메서드는 지원되지 않습니다. EU 리전 및 주권 제어 지원 환경의 경우 Bigtable에서 해당 기능 및 메서드를 사용하지 않아야 합니다.
  • RPC Admin APIListHotTablets API 메서드는 지원되지 않는 방식으로 기술 데이터를 처리하고 저장합니다. EU 리전 및 주권 제어 지원 환경에서는 이 메서드를 사용하지 않아야 합니다.
  • Rest Admin APIhotTablets.list API 메서드는 지원되지 않는 방식으로 기술 데이터를 저장하고 저장합니다. EU 리전 및 주권 제어 지원 환경에서는 이 메서드를 사용하지 않아야 합니다.
분할 경계 Bigtable은 row key의 소규모 하위 집합을 사용하여 고객 데이터 및 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Bigtable의 분할 경계는 테이블에서 연속된 행 범위가 테이블로 분할되는 위치를 나타냅니다.

이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 EU 리전 및 주권 제어 지원 환경의 관리 액세스 데이터 제어가 적용되지 않습니다.

Spanner 기능

기능 설명
분할 경계 Spanner는 기본 키와 색인이 생성된 열의 소규모 하위 집합을 사용하여 고객 데이터와 메타데이터를 포함할 수 있는 분할 경계를 정의합니다. Spanner의 분할 경계는 연속적인 행 범위가 더 작은 조각으로 분할되는 위치를 나타냅니다.

이러한 분할 경계는 기술 지원 및 디버깅 목적으로 Google 직원이 액세스할 수 있으며 EU 리전 및 주권 제어 지원 환경의 관리 액세스 데이터 제어가 적용되지 않습니다.

Dataproc 기능

기능 설명
Google Cloud 콘솔 Dataproc은 현재 관할권의 Google Cloud 콘솔을 지원하지 않습니다. 데이터 상주를 적용하려면 Dataproc를 사용할 때 Google Cloud CLI 또는 API를 사용해야 합니다.

GKE 기능

기능 설명
클러스터 리소스 제한사항 클러스터 구성이 EU 리전 및 주권 제어 지원 환경에서 지원되지 않는 서비스에 대해 리소스를 사용하지 않는지 확인합니다. 예를 들어 다음 구성은 지원되지 않는 서비스를 사용 설정하거나 사용해야 하므로 잘못되었습니다.

set `binaryAuthorization.evaluationMode` to `enabled`

Cloud Logging 기능

고객 관리 암호화 키(CMEK)로 Cloud Logging을 사용하려면 Cloud Logging 문서의 조직에 CMEK 사용 설정 페이지의 단계를 완료해야 합니다.

기능 설명
로그 싱크 필터에는 고객 데이터가 포함되지 않아야 합니다.

로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요.
실시간 테일링 로그 항목 필터에는 고객 데이터가 포함되지 않아야 합니다.

실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요.
로그 기반 알림 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 로그 기반 알림을 만들 수 없습니다.
로그 탐색기 쿼리의 단축된 URL 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 쿼리의 단축된 URL을 만들 수 없습니다.
로그 탐색기에 쿼리 저장 이 기능은 사용 중지되었습니다.

Google Cloud 콘솔에서는 쿼리를 저장할 수 없습니다.
BigQuery를 사용한 로그 애널리틱스 이 기능은 사용 중지되었습니다.

로그 애널리틱스 기능을 사용할 수 없습니다.

Compute Engine 기능

기능 설명
VM 인스턴스 정지 및 재개 이 기능은 사용 중지되었습니다.

VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
로컬 SSD 이 기능은 사용 중지되었습니다.

로컬 SSD는 현재 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참조하세요.
게스트 환경 게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참조하세요.

이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.

자세한 내용은 커스텀 이미지 빌드 페이지를 참조하세요.
instances.getSerialPortOutput() 이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다.

이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 또한 이 페이지의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수 있습니다.
instances.getScreenshot() 이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다.

이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 또한 이 페이지의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수 있습니다.