지원되는 제품 및 제한사항

이 페이지에는 VPC 서비스 제어에서 지원하는 제품과 서비스의 표 및 특정 서비스와 인터페이스의 알려진 제한사항 목록이 포함되어 있습니다.

지원되는 제품

VPC 서비스 제어에서 지원하는 제품은 다음과 같습니다.

지원되는 제품
AI Platform Training	세부정보 VPC 서비스 제어는 AI Platform Training 작업을 지원하지만 AI Platform Prediction(일괄 예측 또는 온라인 예측) 제품이 단일 API를 공유하더라도 이 두 제품을 지원하지 않습니다. 제한사항 제한 사항
AI Platform 메모장	세부정보 없음 제한사항 제한 사항
Anthos Service Mesh	세부정보 VPC 서비스 제어 경계는 Cloud Service Mesh Certificate Authority API만 보호할 수 있습니다. 서비스 경계를 추가하여 ID 네임스페이스를 보호할 수 있습니다.
BigQuery	세부정보 서비스 경계를 사용하여 BigQuery API를 보호하면 BigQuery Storage API도 보호됩니다. 경계의 보호되는 서비스 목록에 BigQuery Storage API를 별도로 추가할 필요가 없습니다. 제한사항 제한 사항
Cloud Bigtable	세부정보 없음
Cloud Data Fusion	세부정보 VPC 서비스 제어로 Cloud Data Fusion을 보호하려면 몇 가지 특별한 단계를 수행해야 합니다. 제한사항 제한 사항
Compute Engine	세부정보 Compute Engine의 VPC 서비스 제어 지원을 사용 설정하면 서비스 경계 내에서 Virtual Private Cloud 네트워크와 Google Kubernetes Engine 비공개 클러스터를 활용할 수 있습니다. 제한사항 제한 사항
Dataflow	세부정보 Dataflow는 여러 스토리지 서비스 커넥터를 지원합니다. 다음 커넥터는 서비스 경계 내에서 Dataflow와 함께 작동하도록 확인되었습니다. Cloud Storage(자바, Python) BigQuery(자바, Python) Pub/Sub(자바, Python) Cloud Bigtable(자바) Cloud Spanner(자바) 제한사항 제한 사항
Dataproc	세부정보 Dataproc을 VPC 서비스 제어로 보호하려면 몇 가지 특별한 단계를 수행해야 합니다. 제한사항 제한 사항
Cloud Data Loss Prevention	세부정보 없음
Cloud Functions	세부정보 베타 기간 동안 Cloud Build를 사용하여 Cloud Functions를 빌드할 때 VPC 서비스 제어 보호는 빌드 단계에 적용되지 않습니다. VPC 서비스 제어 보호는 Firebase 실시간 데이터베이스 트리거와 Firebase Crashlytics 트리거를 제외한 모든 함수 트리거에 적용됩니다. 자세한 내용은 알려진 제한 사항을 참조하세요. 제한사항 제한 사항
Cloud Key Management Service	세부정보 없음
Microsoft Active Directory용 관리형 서비스	세부정보 다음에 추가 구성이 필요합니다. 관리형 Microsoft AD API에 대한 온프레미스 액세스 공유 VPC
보안 비밀 관리자	세부정보 없음
Pub/Sub	세부정보 VPC 서비스 제어 보호는 기존 Pub/Sub 푸시 구독을 제외한 모든 푸시 및 가져오기 작업에 적용됩니다. 제한사항 제한 사항
Cloud Spanner	세부정보 없음
Cloud Storage	세부정보 없음 제한사항 제한 사항
Cloud SQL	세부정보 VPC 서비스 제어 경계는 Cloud SQL Admin API를 보호합니다. 제한사항 제한 사항
Video Intelligence API	세부정보 없음
Cloud Vision API	세부정보 없음
Container Registry	세부정보 Container Registry는 Container Registry API를 보호할 수 있을 뿐만 아니라 GKE 및 Compute Engine과 함께 VPC 서비스 제어를 사용할 수 있습니다. 제한사항 제한 사항
Google Kubernetes Engine	세부정보 없음
Resource Manager	세부정보 없음 제한사항 제한 사항
Cloud Logging	세부정보 VPC 서비스 제어는 대부분의 로그 유형을 보호하지만 아직 폴더 및 조직 리소스를 지원하지 않습니다. 따라서 폴더 수준 및 조직 수준 로그는 VPC 서비스 제어로 보호되지 않습니다. 자세한 내용은 알려진 서비스 제한사항을 참조하세요. 제한사항 제한 사항
Cloud Monitoring	세부정보 없음 제한사항 제한 사항
Cloud Profiler	세부정보 없음
Cloud Trace	세부정보 없음
Cloud TPU	세부정보 없음
Natural Language API	세부정보 없음
Cloud Asset API	세부정보 아직 VPC 서비스 제어에서 폴더 및 조직 리소스를 지원하지 않으므로 폴더 또는 조직 수준에서 Cloud Asset API를 통한 애셋 액세스는 VPC 서비스 제어로 보호되지 않습니다. 자세한 내용은 알려진 서비스 제한사항을 참조하세요. 제한사항 제한 사항
텍스트 음성 변환	세부정보 없음
번역	세부정보 없음
Cloud Healthcare API	세부정보 없음 제한사항 제한 사항

자세한 내용은 지원되는 서비스와 지원되지 않는 서비스를 참조하세요.

API 및 서비스 경계

VPC 서비스 제어에서 지원하는 모든 제품이 서비스 경계로 보호되는 서비스가 아닙니다. 다음 API만 경계로 보호될 수 있습니다.

API 및 서비스 주소
AI Platform Training 및 Prediction API베타	ml.googleapis.com
BigQuery API	bigquery.googleapis.com
Cloud Bigtable API	bigtable.googleapis.com
Cloud Asset Inventory API	cloudasset.googleapis.com
Cloud Data Fusion API베타	datafusion.googleapis.com
Dataflow API	dataflow.googleapis.com
Dataproc API	dataproc.googleapis.com
Cloud Data Loss Prevention API베타	dlp.googleapis.com
Cloud Functions API베타	cloudfunctions.googleapis.com
Cloud Key Management Service API	cloudkms.googleapis.com
Secret Manager API	secretmanager.googleapis.com
Cloud Natural Language API베타	language.googleapis.com
Managed Service for Microsoft Active Directory API	managedidentities.googleapis.com
Pub/Sub API	pubsub.googleapis.com
Cloud Service Mesh Certificate Authority API베타	meshca.googleapis.com
Cloud Spanner API	spanner.googleapis.com
Cloud Storage API	storage.googleapis.com
Cloud SQL API	sqladmin.googleapis.com
Cloud Vision API	vision.googleapis.com
Container Registry API	containerregistry.googleapis.com
Google Kubernetes Engine API	container.googleapis.com
GKE Connect API베타	gkeconnect.googleapis.com
GKE Hub API베타	gkehub.googleapis.com
Resource Manager API베타	cloudresourcemanager.googleapis.com
Cloud Logging API	logging.googleapis.com
Cloud Monitoring API알파	monitoring.googleapis.com
Cloud Profiler API베타	profiler.googleapis.com
Text-to-Speech API베타	texttospeech.googleapis.com
Cloud Translation API베타	translate.googleapis.com
Cloud Trace API	cloudtrace.googleapis.com
Cloud TPU API베타	tpu.googleapis.com
Video Intelligence API	videointelligence.googleapis.com
Cloud Healthcare API알파	healthcare.googleapis.com

미지원 서비스

gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 미지원 서비스를 제한하려 하면 오류가 발생합니다.

지원되는 서비스 데이터에 대한 프로젝트 간 액세스를 VPC 서비스 제어가 차단합니다. 또한 제한된 VIP는 미지원 서비스를 호출하는 워크로드의 기능을 차단하는 데 사용될 수 있습니다.

제한 사항

이 섹션에서는 VPC 서비스 제어를 사용할 때 발생할 수 있는 특정 Google Cloud 서비스, 제품, 인터페이스의 알려진 제한사항을 설명합니다.

VPC 서비스 제어 관련 문제를 해결하는 방법에 대한 자세한 내용은 문제해결 페이지를 참조하세요.

AI Platform 학습

• AI Platform Training 학습 작업을 완벽하게 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

  • AI Platform Training 및 Prediction API(ml.googleapis.com)
  • Pub/Sub API(pubsub.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Google Kubernetes Engine API(container.googleapis.com)
  • Container Registry API(containerregistry.googleapis.com)
  • Cloud Logging API(logging.googleapis.com)

  AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

• 서비스 경계 내에서 AI Platform Training을 사용할 경우 TPU를 사용한 학습은 지원되지 않습니다.

• 서비스 경계를 사용하여 AI Platform Training 및 Prediction API를 보호하면 AI Platform Prediction이 아닌 AI Platform Training만 보호됩니다. 하지만 일부 AI Platform Prediction 기능이 중지됩니다.

AI Platform Notebooks

• VPC 서비스 제어 서비스 경계 내에서 AI Platform 메모장을 사용하려면 다음 도메인이 제한된 VIP를 가리키도록 DNS 항목 여러 개를 추가 또는 구성해야 합니다.

  • *.notebooks.googleapis.com
  • *.datalab.cloud.google.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com

App Engine

• App Engine(표준 환경과 가변형 환경 모두)은 VPC 서비스 제어에서 지원되지 않습니다. 서비스 경계에 App Engine 프로젝트를 포함하지 마세요.

  하지만 서비스 경계 외부에 있는 프로젝트에서 생성된 App Engine 앱이 경계 내에서 보호되는 서비스에 데이터를 읽고 쓸 수 있습니다. 앱이 보호된 서비스의 데이터에 액세스할 수 있게 하려면 프로젝트의 App Engine 서비스 계정이 포함된 액세스 수준을 만듭니다. App Engine을 서비스 경계 내에서 사용하도록 사용 설정하지 않습니다.

BigQuery

• VPC 서비스 제어에서는 서비스 경계로 보호되는 BigQuery 리소스를 다른 조직에 복사할 수 없습니다. 액세스 수준을 사용 설정하면 조직 간에 복사할 수 없습니다.

  보호된 BigQuery 리소스를 다른 조직에 복사하려면 데이터세트를 다운로드한(예: CSV 파일처럼) 후 다른 조직에 파일을 업로드합니다.

• BigQuery Data Transfer Service는 다음 서비스에서만 지원됩니다.

  • Campaign Manager
  • Google Ad Manager
  • Google Ads
  • Google Cloud Storage
  • Google 판매자 센터
  • Google Play
  • YouTube

• BigQuery 기본 웹 UI는 지원되지 않습니다. BigQuery 기본 웹 UI를 사용하여 서비스 경계로 보호되는 BigQuery 인스턴스에 액세스할 수 없습니다.

• 현재 BigQuery용 타사 ODBC 드라이버를 제한된 VIP와 함께 사용할 수 없습니다.

• BigQuery 감사 로그 레코드에는 여러 리소스에 대한 액세스를 내부적으로 처리하는 서비스로 인해 요청할 때 사용된 모든 리소스가 항상 포함되지 않습니다.

• 서비스 계정을 사용하여 서비스 경계로 보호되는 BigQuery 인스턴스에 액세스할 경우 BigQuery 작업은 경계 내 프로젝트 내에서 실행되어야 합니다. 기본적으로 BigQuery 클라이언트 라이브러리는 서비스 계정 또는 사용자 프로젝트 내에서 작업을 실행하므로 VPC 서비스 제어에 의해 쿼리가 거부됩니다.

클라이언트 라이브러리

• 지원되는 모든 서비스의 자바 및 Python 클라이언트 라이브러리는 제한된 VIP를 사용한 액세스를 전체 지원합니다. 다른 언어의 지원은 알파 단계이며 테스트 목적으로만 사용되어야 합니다.

• 클라이언트는 2018년 11월 1일 이후에 업데이트된 클라이언트 라이브러리를 사용해야 합니다.

• 클라이언트에서 사용하는 서비스 계정 키 또는 OAuth2 클라이언트 메타데이터는 2018년 11월 1일 이후에 업데이트된 것이어야 합니다. 토큰 엔드포인트를 사용하는 이전 클라이언트는 최신 키 자료/클라이언트 메타데이터에 지정된 엔드포인트로 변경되어야 합니다.

클라우드 결제

• 서비스 경계로 보호되는 프로젝트의 Cloud Storage 버킷 또는 BigQuery 인스턴스로 Cloud Billing을 내보내도록 허용하려면 경계의 액세스 수준에 임시로 내보내기를 구성하는 사용자를 추가해야 합니다.

Cloud 빌드

• Cloud Build는 VPC 서비스 제어에서 지원되지 않습니다. 서비스 경계 내에서 Cloud Build를 사용하지 마세요.

  하지만 서비스 경계 외부에 있는 프로젝트의 Cloud Build는 경계 내에서 보호되는 서비스에 데이터를 읽고 쓸 수 있습니다. Cloud Build가 보호된 서비스의 데이터에 액세스할 수 있게 하려면 프로젝트의 Cloud Build 서비스 계정이 포함된 액세스 수준을 만듭니다. Cloud Build를 서비스 경계 내에서 사용하도록 사용 설정하지 않습니다.

Cloud Composer

• Cloud Composer는 VPC 서비스 제어에서 지원되지 않습니다. 서비스 경계 내에서 Cloud Composer를 사용하지 마세요.

  Cloud Composer가 서비스 경계 내에 있는 리소스에 액세스할 수 있게 하려면 서비스 경계 외부의 프로젝트에서 Cloud Composer를 사용 설정합니다. 그런 다음 Cloud Composer 환경의 서비스 계정에서 요청을 허용하는 액세스 수준을 만들고 경계에 적용합니다.

Cloud Data Fusion

• 비공개 IP 주소를 사용하여 VPC 서비스 제어 인스턴스를 만들면 VPC 서비스 제어를 사용하여 보호를 강화할 수 있습니다. 서비스 경계 내에 있는 Google Cloud 프로젝트에서 VPC 서비스 제어 비공개 인스턴스를 만듭니다. 비공개 인스턴스 내에서 인스턴스와 함께 패키징되는 플러그인은 서비스 경계에서 적용된 제한을 따릅니다.

• VPC 서비스 제어 파이프라인은 Dataproc 클러스터에서 실행됩니다. 서비스 경계 내에서 실행된 Dataproc 클러스터를 보호하려면 내부 비공개 IP 주소만 있고(공개 IP 주소 없음) VPC 서비스 제어 인스턴스와 동일한 비공개 VPC 네트워크에 있어야 합니다. 비공개 IP 주소가 있는 VPC 서비스 제어 인스턴스는 기본적으로 VPC 서비스 제어 파이프라인 실행 중에 내부 비공개 IP 주소를 사용하여 Dataproc 클러스터를 만듭니다.

• VPC 서비스 제어에서 지원되지 않는 Google Cloud API를 사용하는 플러그인을 사용하지 마세요. 이러한 플러그인을 사용하면 VPC 서비스 제어는 API 호출을 차단하고 이로 인해 파이프라인 미리보기와 실행이 실패합니다.

Dataflow

• 커스텀 BIND와 restricted.googleapis.com VIP를 Dataflow에 사용할 수 없습니다. Dataflow의 DNS 확인을 맞춤설정할 수 없기 때문입니다.

• 일부 스토리지 서비스 커넥터는 서비스 경계 내에서 Dataflow와 함께 사용할 때 작동하도록 확인되었습니다. 확인된 커넥터 목록은 Dataflow 세부정보를 참조하세요.

Dataproc

• 서비스 경계로 Dataproc 클러스터를 보호하려면 클러스터가 경계 내에서 작동할 수 있도록 비공개 연결 설정의 지침을 따라야 합니다.

• Cloud Dataproc Component Gateway는 VPC 서비스 제어를 지원하지 않습니다.

Cloud 함수

• Cloud Functions는 Cloud Build를 사용하여 소스 코드를 실행 가능한 컨테이너에 빌드합니다. 서비스 경계 내에서 Cloud Functions를 사용하려면 서비스 경계의 Cloud Build 서비스 계정의 액세스 수준을 구성해야 합니다.

• npm 패키지와 같은 외부 종속성을 함수에서 사용할 수 있도록 Cloud Build에는 무제한 인터넷 액세스가 있습니다. 이 인터넷 액세스는 업로드된 소스 코드와 같이 빌드 시 사용할 수 있는 데이터를 추출하는 데 사용될 수 있습니다. 이 추출 벡터를 완화하려면 신뢰할 수 있는 개발자 만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.

• Firebase 실시간 데이터베이스 트리거 및 Firebase Crashlytics 트리거의 경우 사용자는 함수가 배포된 프로젝트의 서비스 경계 외부에 있는 다른 프로젝트에서 Firebase 실시간 데이터베이스 또는 Firebase Crashlytics에 대한 변경사항에 의해 트리거될 수 있는 함수를 배포할 수 있습니다. 이 두 트리거의 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.

게시/구독

• 서비스 경계 이전에 생성된 Pub/Sub 푸시 구독은 차단되지 않습니다.

Cloud Shell

• Cloud Shell은 지원되지 않습니다. 이 서비스는 서비스 경계 외부에서 처리되며 VPC 서비스 제어로 보호되는 데이터에 액세스할 수 없습니다.

Cloud Storage

• Cloud Storage 서비스를 보호하는 서비스 경계 내에서 스토리지 버킷과 함께 요청자 지불 기능을 사용할 경우 경계 외부에 있는 지불할 프로젝트를 식별할 수 없습니다. 대상 프로젝트는 스토리지 버킷과 동일한 경계에 있거나 버킷의 프로젝트가 있는 경계 브리지에 있어야 합니다.

  요청자 지불에 대한 자세한 내용은 요청자 지불 사용 및 액세스 요구사항을 참조하세요.

• 서비스 경계 내 프로젝트의 경우 Cloud Storage API가 경계로 보호되면 Cloud Console의 Cloud Storage 페이지에 액세스할 수 없습니다. 페이지에 액세스 권한을 부여하려면 사용자 계정 또는 Cloud Storage API에 액세스하도록 허용할 공개 IP 범위가 포함된 액세스 수준을 만들어야 합니다.

• 감사 로그 레코드에서 resourceName 필드는 버킷을 소유한 프로젝트를 식별하지 않습니다. 프로젝트를 별도로 검색해야 합니다.

• 감사 로그 레코드에서 methodName 값이 항상 올바르지는 않습니다. methodName별로 Cloud Storage 감사 로그 레코드를 필터링하지 않는 것이 좋습니다.

• 경우에 따라 액세스가 거부되어도 Cloud Storage 기존 버킷 로그를 서비스 경계 외부에 있는 대상에 쓸 수 있습니다.

• 새 프로젝트에서 gsutil을 처음 사용하려고 하면 storage-api.googleapis.com 서비스를 사용 설정하라는 메시지가 표시될 수 있습니다. 직접 storage-api.googleapis.com을 보호할 수 없지만 서비스 경계를 사용하여 Cloud Storage API를 보호할 경우 gsutil 작업은 보호됩니다.

Compute Engine

• 현재 서비스 경계를 사용하여 Compute Engine API를 보호할 수 없습니다.

• 서비스 경계로 보호되는 프로젝트의 Cloud Storage에서 Compute Engine 이미지 만들기를 사용 설정하려면 경계의 액세스 수준에 임시로 이미지를 만드는 사용자를 추가해야 합니다.

• VPC 서비스 제어에서는 서비스 경계 내에서 Compute Engine과 함께 Kubernetes를 사용할 수 없습니다.

Container Registry

• Container Registry는 googleapis.com 도메인을 사용하지 않으므로 비공개 DNS 또는 BIND를 통해 다른 API와 별도의 제한된 VIP에 매핑되도록 구성되어야 합니다.

• Container Registry에서 사용 가능한 경계 내에 있는 컨테이너 외에도 다음과 같은 읽기 전용 Google 관리 저장소는 서비스 경계에 관계없이 모든 프로젝트에서 사용 가능합니다.

  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gke.gcr.io
  • k8s.gcr.io
  • mirror.gcr.io

  모든 경우에 이러한 저장소의 리전별 버전도 사용할 수 있습니다.

Google Cloud Console

• Cloud Console은 인터넷을 통해서만 액세스할 수 있으므로 서비스 경계 외부로 처리됩니다. 서비스 경계를 적용하면 보호되는 서비스의 Cloud Console 인터페이스가 일부 또는 전체에 액세스할 수 없게 될 수 있습니다. 예를 들어 경계로 Logging을 보호하면 Cloud Console의 Logging 인터페이스에 액세스할 수 없습니다.

  Cloud Console에서 경계로 보호되는 리소스에 액세스하려면 보호된 API로 Cloud Console을 사용하려는 사용자의 머신이 포함된 공개 IP 범위의 액세스 수준을 만들어야 합니다. 예를 들어 비공개 네트워크 NAT 게이트웨이의 공개 IP 범위를 액세스 수준에 추가한 후 이 액세스 수준을 서비스 경계에 할당할 수 있습니다.

  경계에 대한 Cloud Console 액세스 권한을 특정 사용자 세트로만 제한하려면 사용자도 액세스 수준에 추가하면 됩니다. 이 경우 지정된 사용자만 Cloud Console에 액세스할 수 있습니다.

리소스 관리자

• 보호되는 유일한 Resource Manager API 메서드는 v1 project.setIAMPolicy 및 v1beta1 project.setIAMPolicy입니다.

Cloud 로깅

• 집계된 내보내기 싱크(폴더 또는 includeChildren이 true인 조직 싱크)는 서비스 경계 내 프로젝트에서 데이터에 액세스할 수 있습니다. Cloud IAM을 사용하여 폴더 및 조직 수준의 Logging 권한을 관리하는 것이 좋습니다.

• VPC 서비스 제어는 현재 폴더 및 조직 리소스를 지원하지 않으므로 폴더 수준 및 조직 수준 로그(집계 로그 포함)의 로그 내보내기는 서비스 경계를 지원하지 않습니다. Cloud IAM을 사용하여 내보내기를 경계로 보호되는 서비스와 상호작용하는 데 필요한 서비스 계정으로 제한하는 것이 좋습니다.

• 서비스 경계로 보호되는 리소스에 대한 조직 또는 폴더 로그 내보내기를 설정하려면 로그 싱크의 서비스 계정을 액세스 수준에 추가한 후 대상 서비스 경계에 할당해야 합니다. 프로젝트 수준 로그 내보내기에는 이 과정이 필요하지 않습니다.

  자세한 내용은 다음 페이지를 참조하세요.

  • 액세스 수준을 사용한 인터넷에서의 액세스 권한 부여

  • 서비스 경계 관리

  • 로그 내보내기 개요

Cloud Monitoring

• 알림 채널, 알림 정책 및 커스텀 측정항목을 함께 사용하여 데이터/메타데이터를 추출할 수 있습니다. 현 시점부터 Monitoring 사용자는 조직 외부의 항목(예: 'baduser@badcompany.com')을 가리키는 알림 채널을 설정할 수 있습니다. 그런 다음 사용자는 알림 채널을 활용하는 커스텀 측정항목과 해당 알림 정책을 설정합니다. 이를 통해 사용자는 커스텀 측정항목을 조작하여 알림을 트리거하고 VPC 서비스 제어 경계 외부에 있는 baduser@badcompany.com으로 민감한 데이터 추출을 알리는 알림을 보낼 수 있습니다.

• Google Cloud Console의 모니터링은 VPC 서비스 제어를 지원하지만 기본 Cloud Monitoring 콘솔의 VPC 서비스 제어는 전체 지원되지 않습니다.

• Monitoring 에이전트가 설치된 모든 Compute Engine 또는 AWS VM은 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 에이전트 측정항목 쓰기가 실패합니다.

• 모든 GKE Pod는 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 GKE 모니터링이 작동하지 않습니다.

• 작업공간의 측정항목을 쿼리할 경우 작업공간에서 모니터링된 개별 프로젝트의 경계가 아닌 작업공간의 호스트 프로젝트의 VPC 서비스 제어 경계만 고려됩니다.

• 프로젝트가 작업공간의 호스트 프로젝트와 동일한 VPC 서비스 제어 경계에 있으면 프로젝트는 모니터링된 프로젝트로 기존 작업공간에만 추가될 수 있습니다.

Cloud Asset API

• 폴더 또는 조직 수준에서 Cloud Asset API를 호출할 경우 폴더 또는 조직에 속한 서비스 경계 내에 있는 프로젝트의 데이터에 계속 액세스할 수 있습니다. 폴더 및 조직 수준에서 Cloud 애셋 인벤토리 권한을 관리하는 데 Cloud IAM을 사용하는 것이 좋습니다.

Cloud SQL

• 서비스 경계는 Cloud SQL Admin API만 보호합니다. Cloud SQL 인스턴스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. 조직 정책 제약조건을 사용하여 Cloud SQL 인스턴스의 공개 IP 액세스를 제한해야 합니다.

• Cloud SQL 가져오기 및 내보내기는 Cloud SQL 복제본 인스턴스와 동일한 서비스 경계 내에서 Cloud Storage 버킷의 읽기 및 쓰기만 수행할 수 있습니다. 외부 서버 마이그레이션 흐름에서 Cloud Storage 버킷을 동일한 서비스 경계에 추가해야 합니다. CMEK의 키 흐름을 만들 경우 키를 사용하는 리소스와 동일한 서비스 경계에서 키를 만들어야 합니다. 참고: 백업에서 인스턴스를 복원할 경우 백업과 동일한 서비스 경계에 대상 인스턴스가 있어야 합니다.

Cloud Healthcare API

서비스 경계로 Cloud Healthcare API가 보호되는 경우 FHIR 저장소에서 BigQuery로 내보낼 수 없습니다.