VPC 서비스 제어를 사용하면 Google 관리형 서비스에서 데이터를 무단으로 복사하거나 전송하는 위험을 줄일 수 있습니다.
VPC 서비스 제어를 사용하면 Google 관리 서비스의 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다.
서비스 경계 만들기
서비스 경계를 만들려면 VPC 서비스 제어 가이드를 따라 서비스 경계를 만듭니다.
서비스 경계를 설계할 때 다음 서비스를 포함합니다.
- Migration Center API(
migrationcenter.googleapis.com
) - RMA API(
rapidmigrationassessment.googleapis.com
) - Cloud Storage API(
storage.googleapis.com
) - Resource Manager API(
cloudresourcemanager.googleapis.com
) - Cloud Logging API(
logging.googleapis.com
)
인바운드 데이터 전송 규칙을 사용하여 트래픽 허용
기본적으로 서비스 경계는 경계 외부의 서비스에서 인바운드 데이터 전송을 방지하도록 설계되어 있습니다. 데이터 가져오기를 사용하여 경계 외부에서 데이터를 업로드하거나 탐색 클라이언트를 사용하여 인프라 데이터를 수집하려는 경우 이를 허용하도록 데이터 액세스 규칙을 구성합니다.
데이터 가져오기 사용 설정
데이터 가져오기를 사용 설정하려면 다음 구문을 사용하여 인바운드 데이터 전송 규칙을 지정합니다.
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
다음을 바꿉니다.
SERVICE_ACCOUNT
: Migration Center에 데이터를 업로드하는 데 사용하는 제품별, 프로젝트별 서비스 계정으로,service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
형식입니다.여기에서
PROJECT_NUMBER
는 Migration Center API를 사용 설정한 Google Cloud 프로젝트의 고유 식별자입니다. 프로젝트 번호에 대한 자세한 내용은 프로젝트 식별을 참조하세요.PROJECT_ID
: 데이터를 업로드할 경계 내 프로젝트의 ID입니다.
서명된 URL이 있는 ANY_SERVICE_ACCOUNT
및 ANY_USER_ACCOUNT
ID 유형을 사용할 수 없습니다. 자세한 내용은 경계 외부에서 보호되는 리소스에 대한 액세스 허용을 참조하세요.
탐색 클라이언트로 데이터 수집 사용 설정
탐색 클라이언트로 데이터 수집을 사용 설정하려면 다음 구문을 사용하여 인바운드 데이터 전송 규칙을 지정합니다.
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
다음을 바꿉니다.
SERVICE_ACCOUNT
: 탐색 클라이언트를 만드는 데 사용한 서비스 계정입니다. 자세한 내용은 탐색 클라이언트 설치 프로세스를 참조하세요.PROJECT_ID
: 데이터를 업로드할 경계 내 프로젝트의 ID입니다.
제한사항
서비스 경계를 사용 설정하는 경우 다음 제한사항이 적용됩니다.
StratoZone
StratoZone은 VPC 서비스 제어를 준수하지 않습니다. 서비스 경계를 만든 후 Migration Center와 StratoZone 통합을 사용 설정하려고 하면 오류가 발생합니다.
하지만 서비스 경계를 만들기 전에 StratoZone 통합을 사용 설정한 경우에는 StratoZone 및 이미 수집된 데이터에 액세스할 수 있지만 Migration Center에서 새 데이터를 StratoZone으로 전송하지 않습니다.