사우디아라비아 왕국(KSA)의 주권 통제 제한사항 및 한도
이 페이지에서는 사우디아라비아 왕국(KSA)의 주권 통제 제어 패키지를 사용할 때의 제한사항, 한도, 기타 구성 옵션을 설명합니다.
개요
KSA의 주권 통제 제어 패키지는 지원되는 Google Cloud 제품의 데이터 액세스 제어 및 데이터 상주 기능을 사용 설정합니다. 이러한 서비스 기능 중 일부는 KSA의 주권 통제와 호환되도록 Google에서 제한하거나 한도를 적용합니다. 이러한 제한사항과 한도 대부분은 KSA의 주권 제어용 새 Assured Workloads 폴더를 만들 때 적용됩니다. 그러나 나중에 조직 정책을 수정하여 일부를 변경할 수 있습니다. 또한 일부 제한 및 한도에 대해서는 사용자의 규정 준수에 대한 책임이 있습니다.
이러한 제한사항이 특정 Google Cloud 서비스의 동작을 수정하거나 데이터 액세스 또는 데이터 상주에 영향을 미치는 방식을 이해하는 것이 중요합니다. 예를 들어 데이터 액세스 제한 및 데이터 상주를 유지하기 위해 일부 기능을 자동으로 사용 중지할 수 있습니다. 또한 조직 정책 설정이 변경되면 한 리전에서 다른 리전으로 데이터를 복사하는 의도하지 않은 결과가 발생할 수 있습니다.
지원되는 서비스
달리 명시되지 않는 한 사용자는 Google Cloud 콘솔을 통해 지원되는 모든 서비스에 액세스할 수 있습니다.
다음 서비스는 사우디아라비아 왕국(KSA)의 주권 통제와 호환됩니다.
| 지원되는 제품 | API 엔드포인트 | 영향을 받는 기능 또는 조직 정책 |
|---|---|---|
| 액세스 승인 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Artifact Registry |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| BigQuery [2] |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Bigtable |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Cloud DNS |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud HSM |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Cloud Interconnect |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 영향을 받는 기능 |
| Cloud Key Management Service(Cloud KMS) |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Cloud Load Balancing |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud Logging |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Cloud Monitoring |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud NAT |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud Router |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud SQL |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Cloud Storage |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Cloud VPN |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Compute Engine |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 영향을 받는 기능 및 조직 정책 제약조건 |
| Dataflow |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Dataproc |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| 필수 연락처 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| GKE 허브 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Google Cloud 콘솔 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Google Kubernetes Engine |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 영향을 받는 기능 및 조직 정책 제약조건 |
| Identity and Access Management(IAM) |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| IAP(Identity-Aware Proxy) |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Network Connectivity Center |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| 조직 정책 서비스 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Persistent Disk |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Pub/Sub |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Resource Manager |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Resource Settings |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| 서비스 디렉터리 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| Spanner |
리전 API 엔드포인트:
위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트는 지원되지 않습니다. | 없음 |
| Virtual Private Cloud |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
| VPC 서비스 제어 |
리전 API 엔드포인트는 지원되지 않습니다. 위치 API 엔드포인트는 지원되지 않습니다. 전역 API 엔드포인트:
| 없음 |
조직 정책
이 섹션에서는 KSA의 주권 통제를 사용하여 폴더나 프로젝트를 만들 때 기본 조직 정책 제약조건 값이 각 서비스에 영향을 미치는 방법을 설명합니다. 적용 가능한 다른 제약조건은 기본적으로 설정되어 있지 않더라도 조직의 Google Cloud 리소스 보안이 강화되도록 '심층 방어' 기능을 추가로 제공할 수 있습니다.
클라우드 전체의 조직 정책 제약조건
다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.
| 조직 정책 제약조건 | 설명 |
|---|---|
gcp.resourceLocations |
in:us-locations을(를) allowedValues 목록 항목으로 설정합니다.이 값은 새 리소스 생성을 me-central2 값 그룹으로만 제한합니다. 설정하면 KSA 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참조하세요.이 값을 덜 제한적인 값으로 변경하면 데이터가 KSA 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다. |
gcp.restrictServiceUsage |
모든 지원되는 서비스를 허용하도록 설정합니다. 사용 설정할 수 있고 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 워크로드의 리소스 사용 제한을 참조하세요. |
Compute Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
compute.disableInstanceDataAccessApis |
True로 설정합니다.instances.getSerialPortOutput() 및 instances.getScreenshot() API를 전역적으로 사용 중지합니다.이 조직 정책을 사용 설정하면 Windows Server VM에서 사용자 인증 정보를 생성할 수 없습니다. Windows VM에서 사용자 이름과 비밀번호를 관리해야 하는 경우 다음을 수행합니다.
|
compute.enableComplianceMemoryProtection |
True로 설정합니다. 인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다. |
Google Kubernetes Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True로 설정합니다. 워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 비활성화하는 데 사용됩니다. 이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다. |
영향을 받는 기능
이 섹션에는 기능을 사용할 때의 사용자 요구사항을 포함하여 KSA의 주권 통제가 각 서비스의 기능에 어떻게 영향을 미치는지를 설명합니다.
Compute Engine의 특징
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | Google Cloud Console에서는 다음 Compute Engine 기능을 사용할 수 없습니다. 가능한 경우 API 또는 Google Cloud CLI를 사용합니다.
|
instances.getSerialPortOutput() |
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
instances.getScreenshot() |
이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약조건 값을 False로 변경합니다. 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
Cloud Interconnect의 특징
| 기능 | 설명 |
|---|---|
| 고가용성(HA) VPN | Cloud VPN에서 Cloud Interconnect를 사용할 때 고가용성(HA) VPN 기능을 사용 설정해야 합니다. 또한 이 섹션에 나열된 암호화 및 리전화 요구사항을 준수해야 합니다. |
Cloud Storage의 기능
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | KSA의 주권 통제에 관할권의 Google Cloud 콘솔 사용에 대한 책임은 사용자에게 있습니다. 관할권 콘솔은 Cloud Storage 객체 업로드 및 다운로드를 방지합니다. Cloud Storage 객체를 업로드 및 다운로드하려면 다음 규정 준수 API 엔드포인트 행을 참조하세요. |
| 호환되는 API 엔드포인트 | Cloud Storage에서 위치 엔드포인트 중 하나를 사용하는 것은 사용자 책임입니다. 자세한 내용은 Cloud Storage 위치를 참조하세요. |
Cloud VPN의 특징
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | Google Cloud 콘솔에서는 Cloud VPN 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다. |
각주
1. BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.
- Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.
- 목록에서 새 Assured Workloads 폴더를 선택합니다.
- 허용된 서비스 섹션의 폴더 세부정보 페이지에서 사용 가능한 업데이트 검토를 클릭합니다.
- 허용된 서비스 창에서 폴더에 대해 리소스 사용량 제한 조직 정책에 추가할 서비스를 검토합니다. BigQuery 서비스가 나열되면 서비스 허용을 클릭하여 추가합니다.
BigQuery 서비스가 나열되지 않았으면 내부 프로세스가 완료될 때까지 기다립니다. 폴더를 만든 지 12시간 내에 서비스가 나열되지 않으면 Cloud Customer Care에 문의하세요.
사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다.