컨피덴셜 VM 인스턴스가 다른 컨피덴셜 VM 인스턴스와만 상호작용할 수 있도록 보안 경계를 설정할 수 있습니다. 다음 서비스로 이를 실행할 수 있습니다.
보안 경계는 동일한 프로젝트 또는 별도의 프로젝트에 있는 컨피덴셜 VM 인스턴스에 대해 설정될 수 있습니다.
필요한 역할
보안 경계를 만드는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
조직 관리자 (
roles/resourcemanager.organizationAdmin) -
Compute 공유 VPC 관리자(
roles/compute.xpnAdmin) -
프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin) -
Compute 네트워크 사용자(
roles/compute.networkUser) -
Compute 인스턴스 관리자 (
roles/compute.instanceAdmin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
이러한 역할에 대한 자세한 내용은 공유 VPC 개요의 필수 관리 역할을 참조하세요.
컨피덴셜 VM 경계 만들기
컨피덴셜 VM 인스턴스 주위에 보안 경계를 만들려면 다음 안내를 완료하세요.
조직에
confidential-perimeter라는 폴더를 만듭니다.폴더 내에서 공유 VPC 호스트 프로젝트를 만듭니다. 이렇게 하면 컨피덴셜 VM 경계가 정의됩니다.
VPC 호스트 프로젝트를 만들었으면 네트워킹팀에 액세스 권한을 부여하여 프로젝트를 공유합니다.
경계 적용
서비스 프로젝트에서 컨피덴셜이 아닌 VM 인스턴스가 경계와 상호작용하지 못하도록 하려면 다음과 같이 confidential-perimeter 폴더에 다음 조직 정책 제약조건을 적용합니다.
| 제약조건 | 값 | 설명 |
|---|---|---|
constraints/compute.restrictNonConfidentialComputing |
deny compute.googleapis.com |
모든 서비스 프로젝트가 컨피덴셜 VM 인스턴스만 만들도록 강제합니다. |
constraints/compute.restrictSharedVpcHostProjects |
under: FOLDER_ID |
경계 내부의 프로젝트가 다른 공유 VPC 호스트 프로젝트를 만들 수 없습니다. FOLDER_ID를 confidential-perimeter 폴더의
ID로 바꿉니다. |
constraints/compute.restrictVpcPeering |
is: [] |
서비스 프로젝트가 경계 외부의 네트워크와 네트워크 연결을 피어링하지 못하도록 합니다. |
constraints/compute.vmExternalIpAccess |
is: [] |
서비스 프로젝트의 모든 컨피덴셜 VM 인스턴스가 내부 IP를 사용하도록 강제합니다. |
constraints/compute.restrictLoadBalancerCreationForTypes
|
allowedValues: ["INTERNAL_TCP_UDP", "INTERNAL_HTTP_HTTPS",]
|
모든 VM 인스턴스가 인터넷에 표시되는 인그레스 지점을 정의하지 못하도록 합니다. 인그레스가 있어야 하는 경계 내 특정 프로젝트에 대해 이를 재정의할 수 있습니다(예: 경계 네트워크). |
경계 외부의 네트워크 데이터 전송을 제어하려면 VPC 방화벽 규칙을 사용하세요.
다음 단계
VPC 서비스 제어를 사용하여Google Cloud 리소스를 포괄하도록 보안 경계를 확장할 수 있습니다. 자세한 내용은 VPC 서비스 제어 개요를 참고하세요.