VPC 서비스 제어는 데이터 무단 반출을 방지하기 위해 보안 경계를 설정할 수 있는 Google Cloud 기능입니다. 이 가이드에서는 VPC 서비스 제어 경계에 Cloud Scheduler 작업을 포함하는 방법을 보여줍니다.
제한사항
Cloud Scheduler와 VPC 서비스 제어의 통합에는 다음과 같은 제한사항이 있습니다.
- Pub/Sub 대상만 지원
호환 대상 허용
권장사항입니다. Cloud Scheduler와 VPC 서비스 제어의 통합은 Pub/Sub 대상이 있는 작업만 지원하며, 다른 대상이 있는 작업을 시도하면 오류가 발생합니다. 다른 대상(예: App Engine 또는 HTTP)이 있는 작업이 실행되지 않도록 조직 정책 관리자는 Google Cloud 프로젝트, 폴더 또는 조직 수준에서 조직 정책을 설정할 수 있습니다. 조직 정책의 수준에 대한 자세한 내용은 계층 구조 평가 이해를 참조하세요.
설정한 정책은 소급 적용되지 않습니다. 일반적으로 정책 값이 업데이트될 때 기존 작업은 영향을 받지 않습니다. 대상 유형이 나중에 업데이트되는 기존 작업은 여기에서 예외입니다. 허용되는 대상 유형에 대한 정책을 업데이트한 후 작업에서 대상 유형을 업데이트하면 정책이 적용됩니다.
기본적으로 설정된 정책이 없으면 모든 대상 유형이 허용됩니다. VPC 서비스 제어와 호환되는 대상이 있는 작업만 허용하려면 다음 단계를 수행하세요.
다음 Identity and Access Management(IAM) 역할이 있는지 확인합니다.
- 조직 정책 관리자(
roles.orgpolicy.policyAdmin). 조직 정책을 만드는 데 필요합니다.
- 조직 정책 관리자(
Google Cloud 콘솔에서 조직 정책으로 이동합니다.
필터에서 작업에 허용되는 대상 유형을 입력하고 이 정책을 선택하여 세부정보 페이지로 이동합니다.
수정 아이콘을 클릭합니다.
규칙에서 규칙 추가로 이동하고 다음과 같이 필드를 작성합니다.
- 정책 값:
Custom - 정책 유형:
Allow - 커스텀 값:
PUBSUB
- 정책 값:
완료를 클릭합니다.
저장을 클릭합니다.
필수 IAM 역할 추가
필수 항목입니다. VPC 서비스 제어를 사용하려면 Cloud Scheduler 서비스 계정에 Cloud Scheduler 서비스 에이전트 IAM 역할이 있어야 합니다. 프로젝트에 Cloud Scheduler 서비스 계정이 자동으로 생성됩니다. Cloud Scheduler 서비스 에이전트 IAM 역할이 있는지 확인하거나 이 역할을 부여하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAM으로 이동합니다.
Google 제공 역할 부여 포함 체크박스를 선택합니다.
필터에 Cloud Scheduler 서비스 계정을 입력하고 이 주 구성원을 선택합니다.
Cloud Scheduler 서비스 계정 주 구성원의 역할 열을 확인합니다. 다음 역할이 표시되면 계속 진행할 수 있습니다.
- Cloud Scheduler 서비스 에이전트
Cloud Scheduler 서비스 계정 역할이 없는 경우 수정 아이콘을 클릭하고 Cloud Scheduler 서비스 계정 주 구성원에 Cloud Scheduler 서비스 에이전트 역할을 부여합니다.
VPC 서비스 제어 경계 지정
필수 항목입니다. 기존 경계를 사용하거나 새 경계를 만들어 Pub/Sub 대상이 있는 Cloud Scheduler 작업을 보호할 수 있습니다. 두 가지 방법 모두 제한할 서비스를 지정할 수 있습니다. Cloud Scheduler API를 지정합니다.
기존 경계: Cloud Scheduler를 포함하도록 기존 VPC 서비스 제어 경계를 업데이트하려면 서비스 경계 업데이트 단계를 따르세요.
새 경계: Cloud Scheduler의 새 경계를 만들려면 서비스 경계 만들기 단계를 따르세요.