VPC 서비스 제어로 크론 작업 보호

VPC 서비스 제어는 데이터 무단 반출을 방지하기 위해 보안 경계를 설정할 수 있는 Google Cloud 기능입니다. 이 가이드에서는 Cloud Scheduler 작업을 VPC 서비스 제어 경계에 포함하는 방법을 설명합니다.

제한사항

Cloud Scheduler에 대한 VPC 서비스 제어 지원에는 다음 제한사항이 적용됩니다.

적용된 작업

VPC 서비스 제어는 다음 작업에만 적용됩니다.

  • Cloud Scheduler 작업 생성
  • Cloud Scheduler 작업 업데이트

이 작업이 왜 중요한가요?

VPC 서비스 제어는 작업 생성 및 작업 업데이트에만 적용되므로 Cloud Scheduler를 VPC 서비스 제어 경계에 추가하기 전에 만든 작업에는 VPC 서비스 제어가 자동으로 적용되지 않습니다. 작업 대상이 VPC 서비스 제어 경계에 속하지 않거나 지원되는 대상이 아니어도 작업이 계속 실행됩니다. 모든 Cloud Scheduler 작업에 대해 VPC 서비스 제어를 적용하려면 다음 안내를 따르세요.

  • 대상이 지원되지 않거나 경계 외부에 있는 작업: 작업을 삭제합니다. 규정을 준수하지 않는 작업 삭제를 참조하세요.
  • 대상이 지원되며 경계 내부에 있는 작업: 경계에 Cloud Scheduler를 추가한 후 각 작업에서 업데이트를 실행합니다. 기존 작업에 적용을 참조하세요.

지원되는 대상

Cloud Scheduler와 VPC 서비스 제어의 통합은 다음 대상만 지원합니다.

  • Cloud Functions(functions.net URL)
  • Cloud Run(Cloud Run 서비스의 run.app URL. Cloud Run 작업 대상은 지원되지 않습니다. Cloud Run의 서비스 및 작업 리소스 차이점에 대한 자세한 내용은 서비스 및 작업: 코드 실행을 위한 두 가지 방법을 참조하세요.)
  • Dataflow API(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)
  • Data Pipelines(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)
  • Pub/Sub(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)

정책을 준수하지 않는 작업 삭제

권장사항입니다. 다음 대상 중 하나를 가진 Cloud Scheduler 작업을 삭제합니다.

  • 지원되지 않음(지원되는 대상 참조)
  • 사용하려는 VPC 서비스 제어 경계 외부

작업 삭제에 대한 자세한 내용은 작업 삭제를 참조하세요.

Cloud Scheduler를 VPC 서비스 제어 경계에 추가하기 전에 이러한 작업을 삭제하지 않으면 작업이 계속 실행되지만 VPC 서비스 제어가 적용되지 않습니다(참고:적용된 작업 참조하세요.

예를 들어 Cloud Run 커스텀 도메인과 같이 지원되지 않는 대상을 대상으로 하는 Cloud Scheduler 작업이 있는 경우 작업은 Cloud Scheduler를 VPC 서비스 제어 경계에 추가한 후 계속 실행됩니다. 하지만 VPC 서비스 제어로 보호되지는 않습니다. 대상이 VPC 서비스 제어 경계 외부에 있는 기존 작업에도 마찬가지입니다.

필수 IAM 역할 추가

필수 항목입니다. VPC 서비스 제어를 사용하려면 Cloud Scheduler 서비스 계정에 Cloud Scheduler 서비스 에이전트 IAM 역할이 있어야 합니다. Cloud Scheduler 서비스 계정은 프로젝트에 대해 자동으로 생성됩니다. Cloud Scheduler 서비스 에이전트 IAM 역할이 있는지 확인하거나 이 역할을 부여하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 IAM으로 이동합니다.

    IAM으로 이동

  2. Google 제공 역할 부여 포함 체크박스를 선택합니다.

  3. 필터에 Cloud Scheduler 서비스 계정을 입력하고 이 주 구성원을 선택합니다.

  4. Cloud Scheduler 서비스 계정 주 구성원의 역할 열을 확인합니다. 다음 역할이 나열되었으면 계속 진행할 수 있습니다.

    • Cloud Scheduler 서비스 에이전트

    Cloud Scheduler 서비스 계정 역할이 없는 경우 수정 아이콘을 클릭하고 Cloud Scheduler 서비스 계정 주 구성원에 Cloud Scheduler 서비스 에이전트 역할을 부여합니다.

VPC 서비스 제어 경계 지정

필수 항목입니다. 기존 경계를 사용하거나 새 경계를 만들어 지원되는 대상이 있는 Cloud Scheduler 작업을 보호할 수 있습니다. 두 가지 방법 모두 제한할 서비스를 지정할 수 있습니다. Cloud Scheduler API를 지정합니다.

  • 기존 경계: Cloud Scheduler를 포함하도록 기존 VPC 서비스 제어 경계를 업데이트하려면 서비스 경계 업데이트 단계를 수행합니다.

  • 새 경계: Cloud Scheduler에 대해 새 경계를 만들려면 서비스 경계 만들기 단계를 따릅니다.

기존 작업에 VPC 서비스 제어 적용

권장사항입니다. VPC 서비스 제어 경계에 Cloud Scheduler를 추가하기 전에 만든 Cloud Scheduler 작업에 VPC 서비스 제어를 적용하려면 작업에서 update를 실행합니다. 작업을 변경할 필요는 없지만 VPC 서비스 제어가 작업 및 이후의 실행에 적용되도록 업데이트를 실행해야 합니다.

Google Cloud 콘솔(작업 선택 및 수정 버튼 사용), API 또는 gcloud CLI를 사용해서 작업 업데이트를 실행할 수 있습니다.

gcloud CLI를 사용하여 기존 작업에 VPC 서비스 제어를 적용하려면 다음을 실행합니다.

HTTP 대상

gcloud scheduler jobs update http JOB_ID

다음을 바꿉니다.

  • JOB_ID: 작업의 ID

Pub/Sub 대상

gcloud scheduler jobs update pubsub JOB_ID

다음을 바꿉니다.

  • JOB_ID: 작업의 ID