버킷 IP 필터링

이 페이지에서는 버킷 IP 필터링의 이점, 작동 방식, 지원되는 위치, 고려해야 할 제한사항 등 버킷 IP 필터링에 대한 개요를 제공합니다.

개요

Cloud Storage는 버킷에 저장된 데이터에 대한 액세스를 관리하기 위해 버킷 IP 필터링을 제공합니다.

버킷 IP 필터링은 요청의 소스 IP 주소를 기준으로 버킷에 대한 액세스를 제한하고 승인되지 않은 액세스로부터 데이터를 보호하는 네트워크 보안 메커니즘입니다.

Cloud Storage용 버킷 IP 필터링 기능을 사용하면 IPv4 또는 IPv6 주소 범위 또는 Google Cloud가상 프라이빗 클라우드(VPC)를 기반으로 세분화된 액세스 제어를 설정할 수 있습니다. 버킷 수준에서 IP 범위 목록을 구성할 수 있으며 버킷에 들어오는 모든 요청은 구성된 IP 범위 및 VPC로 제한됩니다. 이 기능을 사용하면 Cloud Storage 버킷의 민감한 정보를 보호하고 특정 IP 주소 또는 VPC의 무단 액세스를 방지할 수 있는 방법을 제공합니다.

이점

Cloud Storage용 버킷 IP 필터링은 다음과 같은 이점을 제공합니다.

• 세분화된 액세스 제어: 요청자의 특정 IP 주소(IPv4 또는 IPv6) 또는 Google Cloud 가상 프라이빗 클라우드(VPC)를 기반으로 Cloud Storage 버킷에 대한 액세스를 제한합니다. 버킷 IP 필터링은 강력한 네트워크 수준 보안 레이어 역할을 하여 알 수 없거나 신뢰할 수 없는 소스에서 발생하는 무단 액세스를 방지합니다.

• 보안 강화: 승인된 IP 주소 또는 VPC에 대한 액세스를 제한하면 무단 액세스, 데이터 침해, 악의적인 활동의 위험을 줄일 수 있습니다.

• 유연한 구성: 버킷 수준에서 IP 범위 목록을 구성하고 관리하여 특정 요구사항에 맞게 액세스 제어를 맞춤설정할 수 있습니다.

기본 원리

버킷 IP 필터링을 사용하면 특정 IPv4 및 IPv6 주소의 요청을 허용하는 규칙을 정의하여 버킷에 대한 액세스를 제어할 수 있습니다. 들어오는 요청은 이러한 규칙에 따라 평가되어 액세스 권한을 결정합니다.

버킷 IP 필터링 규칙에는 다음 구성이 포함됩니다.

• 공개 인터넷 액세스: 구성된 가상 프라이빗 클라우드(VPC) 외부의 공개 인터넷에서 발생하는 요청을 관리하는 규칙을 정의할 수 있습니다. 이러한 규칙은 CIDR 범위를 사용하여 허용된 IPv4 또는 IPv6 주소를 지정하여 해당 소스에서 들어오는 인바운드 트래픽을 승인합니다.

• 가상 프라이빗 클라우드(VPC) 액세스: 특정 VPC 네트워크의 액세스를 세분화하여 제어하려면 각 네트워크에 대한 규칙을 정의하면 됩니다. 이러한 규칙에는 허용된 IP 범위가 포함되어 가상 네트워크 인프라에서 액세스를 정밀하게 관리할 수 있습니다.

• 서비스 에이전트 액세스: Google Cloud 서비스 에이전트는 활성 IP 필터 구성이 있는 경우에도 버킷에 대한 액세스 권한을 유지합니다. 버킷에 액세스할 때 BigLake, Storage Insights, Vertex AI, BigQuery와 같은 Google Cloud 서비스가 IP 필터 유효성 검사를 우회할 수 있도록 구성을 설정할 수 있습니다.

제한사항

버킷 IP 필터링에는 다음과 같은 제한사항이 있습니다.

• 최대 IP CIDR 블록 수: 버킷의 IP 필터 규칙에서 공개 및 VPC 네트워크에 걸쳐 최대 200개의 IP CIDR 블록을 지정할 수 있습니다.

• 최대 VPC 네트워크 수: 버킷의 IP 필터 규칙에 최대 25개의 VPC 네트워크를 지정할 수 있습니다.

• 리전 엔드포인트: 리전 엔드포인트는 Private Service Connect를 사용하는 경우에만 IP 필터링과 함께 작동합니다.

• IPv6 지원: gRPC 직접 경로를 사용한 IP 필터링은 IPv4 VM에서 지원되지 않습니다. gRPC 직접 경로와 함께 IP 필터링을 사용하는 경우 VPC 네트워크에서 IPv6 지원을 사용 설정해야 합니다.

• 차단된 Google Cloud 서비스: Cloud Storage 버킷에서 IP 필터링을 사용 설정하면 서비스 에이전트를 사용하여 Cloud Storage와 상호작용하는지 여부에 관계없이 일부 Google Cloud 서비스에 대한 액세스가 제한됩니다. 예를 들어 BigQuery와 같은 서비스는 데이터를 가져오고 내보내는 데 Cloud Storage를 사용합니다. 서비스 중단을 방지하려면 다음 서비스에서 액세스하는 Cloud Storage 버킷에 IP 필터링을 사용하지 않는 것이 좋습니다.

  • BigQuery와 Cloud Storage의 상호작용:
    • Cloud Storage에서 BigQuery로 데이터 로드
    • BigQuery에서 Cloud Storage로 테이블 데이터 내보내기
    • BigQuery에서 Cloud Storage로 쿼리 결과 내보내기
    • BigQuery를 사용하여 외부 Cloud Storage 테이블에서 쿼리
  • App Engine 애플리케이션이 Cloud Storage의 데이터에 액세스하는 경우 가상 프라이빗 클라우드(VPC)를 통해 App Engine을 사용하는 것이 좋습니다.
  • IP 필터링은 Cloud Shell을 지원하지 않습니다.

다음 단계

• 버킷에서 IP 필터링 규칙 만들기
• 버킷에서 IP 필터링 규칙 업데이트
• 버킷에서 IP 필터링 규칙 나열
• 버킷에서 IP 필터링 규칙 사용 중지
• 버킷에서 IP 필터링 규칙 우회

직접 사용해 보기

Google Cloud를 처음 사용하는 경우 계정을 만들어 실제 시나리오에서 Cloud Storage의 성능을 평가할 수 있습니다. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

Cloud Storage 무료로 사용해 보기