VPC 서비스 제어를 사용하면 Google Cloud 리소스 경계인 경계를 만들 수 있습니다. 그런 다음 경계 외부에서 지원되는 서비스에 대한 액세스를 방지하는 보안 정책을 정의할 수 있습니다. VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.
VPC 서비스 제어를 사용하여 다음 Policy Intelligence API를 보호할 수 있습니다.
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API의 보안 강화
VPC 서비스 제어를 사용하여 정책 문제 해결을 지원할 수 있습니다.
경계를 설정하여 Policy Troubleshooter API를 제한하면 주 구성원은 요청과 관련된 모든 리소스가 동일한 경계 내에 있는 경우에만 IAM 정책 문제를 해결할 수 있습니다. 일반적으로 문제 해결 요청에는 두 가지 리소스가 포함됩니다.
액세스 문제를 해결하는 리소스. 이 리소스는 모든 유형이 될 수 있습니다. IAM 정책 문제를 해결할 때 이 리소스를 명시적으로 지정합니다.
액세스 문제를 해결하는 데 사용하는 리소스. 이 리소스는 프로젝트, 폴더 또는 조직이어야 합니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는
x-goog-user-project헤더를 사용하여 이 리소스를 지정합니다.이 리소스는 액세스 문제를 해결하는 리소스와 동일할 수 있지만 반드시 그럴 필요는 없습니다.
이러한 리소스가 동일한 경계 내에 있지 않으면 요청이 실패합니다.
VPC 서비스 제어가 정책 문제 해결 도구와 함께 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 테이블에서 정책 문제 해결 도구 항목을 참조하세요.
Policy Simulator API 보호 지원
경계를 설정하여 Policy Simulator API를 제한하는 경우 주 구성원은 시뮬레이션에 관련된 특정 리소스가 동일한 경계에 있는 경우에만 허용 정책을 시뮬레이션할 수 있습니다. 시뮬레이션에는 다음과 같은 몇 가지 리소스가 포함됩니다.
허용 정책을 시뮬레이션할 리소스. 이 리소스를 대상 리소스라고도 합니다. Google Cloud 콘솔에서 허용 정책을 수정할 리소스입니다. gcloud CLI 및 REST API에서 허용 정책을 시뮬레이션할 때 이 리소스를 명시적으로 지정합니다.
시뮬레이션을 만들고 실행하는 프로젝트, 폴더 또는 조직. 이 리소스를 호스트 리소스라고도 합니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는
x-goog-user-project헤더를 사용하여 이 리소스를 지정합니다.이 리소스는 대상 리소스와 동일할 수 있지만 반드시 그럴 필요는 없습니다.
시뮬레이션에 대한 액세스 로그를 제공하는 리소스. 시뮬레이션에는 언제나 시뮬레이션에 대한 액세스 로그를 제공하는 리소스 한 개가 있습니다. 이 리소스는 대상 리소스 유형에 따라 다릅니다.
- 프로젝트 또는 조직에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 프로젝트 또는 조직의 액세스 로그를 검색합니다.
- 다른 유형의 리소스에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 리소스의 상위 프로젝트 또는 조직에 대해 액세스 로그를 검색합니다.
- 한 번에 리소스 허용 정책 여러 개를 시뮬레이션하는 경우 정책 시뮬레이터는 리소스의 가장 일반적인 프로젝트나 조직의 액세스 로그를 검색합니다.
관련 허용 정책이 있는 모든 지원되는 리소스. 정책 시뮬레이터는 시뮬레이션을 실행할 때 대상 리소스의 상위 및 하위 리소스에 대한 허용 정책을 포함하여 사용자 액세스에 영향을 줄 수 있는 모든 허용 정책을 고려합니다. 따라서 이러한 상위 리소스와 하위 리소스도 시뮬레이션에 포함됩니다.
대상 리소스와 호스트 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.
대상 리소스 및 시뮬레이션에 대한 액세스 로그를 제공하는 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.
대상 리소스 및 관련 허용 정책이 지원되는 일부 리소스가 동일한 경계에 있지 않은 경우 요청이 성공하지만 결과가 불완전할 수 있습니다. 예를 들어 경계에서 프로젝트에 대한 정책을 시뮬레이션하는 경우 조직은 항상 VPC 서비스 제어 경계 외부에 있으므로 프로젝트의 상위 조직의 허용 정책이 결과에 포함되지 않습니다. 보다 완전한 결과를 얻기 위해 경계에 대한 인그레스 및 이그레스 규칙을 구성할 수 있습니다.
VPC 서비스 제어가 정책 시뮬레이터와 함께 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 테이블에서 정책 시뮬레이터 항목을 참조하세요.
다음 단계
- 서비스 경계 생성 방법 알아보기