서비스 경계 만들기

이 페이지에서는 서비스 경계를 만드는 방법을 설명합니다.

시작하기 전에

서비스 경계 만들기

이 섹션에서는 보호하는 서비스에 대한 외부 액세스를 허용하지 않는 서비스 경계를 만드는 방법을 설명합니다. 제한된 외부 액세스를 허용하는 서비스 경계를 만들려면 경계를 만들 때 제한된 액세스 사용 설정을 참조하세요.

서비스 경계 생성 후 변경 사항이 전파되고 적용되려면 최대 30분이 걸릴 수 있습니다.

Console

  1. Google Cloud Console 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.

    VPC 서비스 제어 페이지로 이동

  2. 메시지가 표시되면 조직을 선택합니다.

  3. VPC 서비스 제어 페이지 상단에서 새 경계를 클릭합니다.

  4. 새 VPC 서비스 경계 페이지의 경계 이름 상자에 경계의 이름을 입력합니다.

  5. 경계 내에서 보호하려는 프로젝트를 선택합니다.

    1. 프로젝트 추가 버튼을 클릭합니다.

    2. 프로젝트 추가 창에서 경계에 추가하려는 프로젝트에 해당하는 각 행의 체크박스를 선택합니다.

    3. n개 프로젝트 추가 버튼을 클릭하세요. n은 이전 단계에서 선택한 프로젝트의 수입니다.

  6. 경계 내에서 보호하려는 서비스를 선택합니다.

    1. 서비스 추가 버튼을 클릭합니다.

    2. 제한할 서비스 지정 창에서 보호하려는 서비스에 해당하는 각 행의 체크박스를 선택합니다.

    3. n개 서비스 추가 버튼을 클릭하세요. n은 이전 단계에서 선택한 서비스의 수입니다.

  7. 저장 버튼을 클릭합니다.

gcloud

새 경계선을 만들려면 create 명령어를 실행합니다.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --policy=POLICY_NAME
    

각 항목의 의미는 다음과 같습니다.

  • NAME은 경계의 이름입니다.

  • TITLE은 사람이 읽을 수 있는 경계 제목입니다.

  • PROJECTS는 하나 이상의 프로젝트 ID를 쉼표로 구분한 목록입니다. 예를 들면 projects/12345 또는 projects/12345,projects/67890입니다. 숫자 ID만 지원됩니다. 프로젝트 이름은 사용할 수 없습니다.

  • SERVICES는 하나 이상의 서비스를 쉼표로 구분한 목록입니다. 예를 들면 storage.googleapis.com 또는 storage.googleapis.com,bigquery.googleapis.com입니다.

  • POLICY-NAME은 조직의 액세스 정책의 숫자 이름입니다. (예: 330193482019)

예를 들어 아래 명령어는 프로젝트 example-projectexample-project2를 포함하는 ProdPerimeter라는 경계를 만들고 Cloud Storage와 BigQuery API를 제한합니다.

    gcloud access-context-manager perimeters \
      create ProdPerimeter --title="Production Perimeter" \
      --resources=projects/12345,projects/67890 \
      --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
      --policy=330193482019
    

API

서비스 경계를 만들려면 accessPolicies.servicePerimeters.create를 호출하세요.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
    

각 항목의 의미는 다음과 같습니다.

  • POLICY-NAME은 조직의 액세스 정책의 숫자 이름입니다. (예: 330193482019)

요청 본문

요청 본문에는 서비스 경계를 정의하는 ServicePerimeter 리소스가 있어야 합니다.

ServicePerimeter 리소스에 대하여 perimeterTypePERIMETER_TYPE_REGULAR를 지정하세요.

응답 본문

성공하면 호출에 대한 응답 본문에 POST 작업에 대한 세부정보를 제공하는 Operation 리소스가 포함됩니다.

경계를 만들 때 액세스 제어 사용 설정

새 경계를 만들 때 하나 이상의 액세스 수준을 적용할 수도 있습니다. 원한다면 서비스 경계 생성 후에도 액세스 수준을 추가할 수 있습니다.

서비스 경계 생성 후 변경 사항이 전파되고 적용되려면 최대 30분이 걸릴 수 있습니다.

시작하기 전에

서비스 경계에 적용할 액세스 수준을 만들거나 정의합니다.

Console

  1. Google Cloud Console 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.

    VPC 서비스 제어 페이지로 이동

  2. 메시지가 표시되면 조직을 선택합니다.

  3. VPC 서비스 제어 페이지 상단에서 새 경계를 클릭합니다.

  4. 새 VPC 서비스 경계 페이지의 경계 이름 상자에 경계의 이름을 입력합니다.

  5. 경계 내에서 보호하려는 프로젝트를 선택합니다.

    1. 프로젝트 추가 버튼을 클릭합니다.

    2. 프로젝트 추가 창에서 경계에 추가하려는 프로젝트에 해당하는 각 행의 체크박스를 선택합니다.

    3. n개 프로젝트 추가 버튼을 클릭하세요. n은 이전 단계에서 선택한 프로젝트의 수입니다.

      프로젝트 UI 추가

  6. 경계 내에서 보호하려는 서비스를 선택합니다.

    1. 서비스 추가 버튼을 클릭합니다.

    2. 제한할 서비스 지정 창에서 보호하려는 서비스에 해당하는 각 행의 체크박스를 선택합니다.

    3. n개 서비스 추가 버튼을 클릭하세요. n은 이전 단계에서 선택한 서비스의 수입니다.

      서비스 UI 제한

  7. 액세스 수준 선택 상자를 클릭합니다.

  8. 서비스 경계에 적용할 액세스 수준에 해당하는 체크박스를 선택합니다.

  9. 저장 버튼을 클릭합니다.

gcloud

서비스 경계를 만들 때 액세스 수준을 적용하려면 create 명령어를 사용합니다.

    gcloud access-context-manager perimeters \
      create NAME --title=TITLE \
      --resources=PROJECTS \
      --restricted-services=SERVICES \
      --access-levels=LEVELS
      --policy=POLICY_NAME
    

각 항목의 의미는 다음과 같습니다.

  • NAME은 경계의 이름입니다.

  • TITLE은 사람이 읽을 수 있는 경계 제목입니다.

  • PROJECTS는 하나 이상의 프로젝트 ID를 쉼표로 구분한 목록입니다. 예를 들면 projects/12345 또는 projects/12345,projects/67890입니다. 숫자 ID만 지원됩니다. 프로젝트 이름은 사용할 수 없습니다.

  • SERVICES는 하나 이상의 서비스를 쉼표로 구분한 목록입니다. 예를 들면 storage.googleapis.com 또는 storage.googleapis.com,bigquery.googleapis.com입니다.

  • LEVELS는 서비스 경계에 적용할 하나 이상의 액세스 수준을 쉼표로 구분한 목록입니다.

  • POLICY-NAME은 조직의 액세스 정책의 숫자 이름입니다. (예: 330193482019)

다음 단계