Infrastructure Manager에 사용되는 작업자 풀에 Cloud Build 비공개 풀을 사용해야 합니다. Terraform 제공업체 및 Terraform 구성을 다운로드하려면 이 비공개 풀에 공개 인터넷 호출이 사용 설정되어 있어야 합니다. 기본 Cloud Build 작업자 풀은 사용할 수 없습니다.
다음은 동일한 경계에 있어야 합니다.
Infrastructure Manager가 사용하는 서비스 계정입니다.
Infrastructure Manager가 사용하는 Cloud Build 작업자 풀입니다.
Infrastructure Manager가 사용하는 스토리지 버킷입니다. 기본 스토리지 버킷을 사용할 수 있습니다.
VPC 서비스 제어로 Google Cloud NetApp Volumes용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.
Google Cloud NetApp Volumes에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
VPC 서비스 제어에서는 네트워크 파일 시스템(NFS) 및 서버 메시지 블록(SMB) 읽기 및 쓰기와 같은 데이터 영역 경로를 다루지 않습니다. 또한 호스트 프로젝트와 서비스 프로젝트가 서로 다른 경계에서 구성된 경우 Google Cloud 서비스 구현이 중단될 수 있습니다.
Google Cloud Search는 데이터 보안을 강화할 수 있도록 Virtual Private Cloud Security Control(VPC-SC)을 지원합니다. VPC-SC를 사용하면 Google Cloud Platform 리소스 주위에 보안 경계를 정의하여 데이터를 통제하고 데이터 무단 반출 위험을 완화할 수 있습니다.
Cloud Search 리소스는 Google Cloud 프로젝트에 저장되지 않으므로 VPC 경계 보호 프로젝트로 Cloud Search 고객 설정을 업데이트해야 합니다. VPC 프로젝트는 모든 Cloud Search 리소스의 가상 프로젝트 컨테이너 역할을 합니다.
이 매핑을 작성하지 않으면 VPC 서비스 제어가 Cloud Search API에서 작동하지 않습니다.
서비스 경계 내에서 AI Platform Prediction을 사용할 경우 일괄 예측은 지원되지 않습니다.
AI Platform Prediction과 AI Platform Training은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.
서비스 경계 내에서 AI Platform Training을 사용할 경우 TPU를 사용한 학습은 지원되지 않습니다.
AI Platform Training과 AI Platform Prediction은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Prediction용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.
constraints/visionai.disablePublicEndpoint가 사용되면 클러스터의 공개 엔드포인트가 사용 중지됩니다. 사용자는 수동으로 PSC 대상에 연결하고 비공개 네트워크에서 서비스에 액세스해야 합니다. cluster 리소스에서 PSC 대상을 가져올 수 있습니다.
Artifact Registry는 pkg.dev 도메인을 사용하므로 *.pkg.dev이 private.googleapis.com 또는 restricted.googleapis.com에 매핑될 수 있도록 DNS를 구성해야 합니다.
자세한 내용은 서비스 경계에서 저장소 보호를 참조하세요.
Artifact Registry에서 사용 가능한 경계 내에 있는 아티팩트 외에도, Container Registry 저장소의 다음과 같은 읽기 전용 저장소는 서비스 경계에 관계없이 모든 프로젝트에서 사용 가능합니다.
지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다.
automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.
자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.
지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다.
automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.
자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.
지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다.
automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.
자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.
미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요?
예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 이름
automl.googleapis.com, eu-automl.googleapis.com
세부정보
AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.
AutoML API(automl.googleapis.com)
Cloud Storage API(storage.googleapis.com)
Compute Engine API(compute.googleapis.com)
BigQuery API(bigquery.googleapis.com)
AutoML Video Intelligence에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다.
automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.
자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.
지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다.
automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.
자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.
서비스 경계를 사용하여 BigQuery API를 보호하면 BigQuery Storage API 및 BigQuery Reservation API도 보호됩니다. 경계의 보호되는 서비스 목록에 BigQuery Storage API 또는 BigQuery Reservation API를 별도로 추가할 필요가 없습니다.
BigQuery 감사 로그 레코드는 내부적으로 여러 리소스에 대한 액세스를 처리하는 서비스로 인해 요청 실행 시 사용된 모든 리소스를 항상 포함하지는 않습니다.
서비스 경계로 보호되는 BigQuery 인스턴스에 액세스할 때 BigQuery 작업은 경계 내 프로젝트 또는 경계의 이그레스 규칙에서 허용하는 프로젝트에서 실행해야 합니다. 기본적으로 BigQuery 클라이언트 라이브러리는 서비스 계정 또는 사용자 프로젝트 내에서 작업을 실행하므로 VPC 서비스 제어에 의해 쿼리가 거부됩니다.
BigQuery는 VPC 서비스 제어로 보호되는 경계에서 Google Drive에 쿼리 결과를 저장하는 것을 차단합니다.
VPC 서비스 제어는 BigQuery Enterprise, Enterprise Plus 또는 On-Demand를 통해 분석을 수행할 때만 지원됩니다.
서비스 경계는 BigQuery Data Transfer Service API만 보호합니다. BigQuery에서 실제 데이터 보호를 적용합니다. 이는 Amazon S3, Redshift, Teradata, YouTube, Google Play, Google Ads와 같은 Google Cloud 외부의 다양한 외부 소스에서 BigQuery 데이터 세트로 데이터를 가져올 수 있도록 설계되었습니다. Teradata에서 데이터를 마이그레이션하기 위한 VPC 서비스 제어 요구사항에 대한 자세한 내용은 VPC 서비스 제어 요구사항을 참조하세요.
BigQuery Data Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
BigQuery Data Transfer Service는 BigQuery 데이터 세트에서 데이터를 내보내는 기능을 지원하지 않습니다. 자세한 내용은 테이블 데이터 내보내기를 참조하세요.
프로젝트 간에 데이터를 전송하려면 대상 프로젝트가 소스 프로젝트와 동일한 경계 내에 있어야 합니다. 아니면 이그레스 규칙에서 경계 외부로의 데이터 전송을 허용해야 합니다.
BigQuery Data Transfer Service는 서비스 경계로 보호되는 프로젝트로 데이터를 전송하는 타사 데이터 소스를 지원하지 않습니다.
bigtable.googleapis.com 및 bigtableadmin.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 bigtable.googleapis.com 서비스를 제한하면 경계가 기본적으로 bigtableadmin.googleapis.com 서비스를 제한합니다. bigtableadmin.googleapis.com 서비스는 bigtable.googleapis.com와 함께 번들로 제공되므로 경계의 제한된 서비스 목록에 추가할 수 없습니다.
Binary Authorization으로 여러 프로젝트를 사용하는 경우 각 프로젝트를 VPC 서비스 제어 경계에 포함해야 합니다. 이 사용 사례에 대한 자세한 내용은 다중 프로젝트 설정을 참조하세요.
Binary Authorization에서는 Artifact Analysis를 사용하여 증명자 및 증명을 각각 메모 및 어커런스로 저장할 수 있습니다. 이 경우 VPC 서비스 제어 경계에도 Artifact Analysis를 포함해야 합니다.
자세한 내용은 Artifact Analysis를 위한 VPC 서비스 제어 안내를 참조하세요.
Dataflow를 사용할 때는 커스텀 BIND가 지원되지 않습니다. VPC 서비스 제어에 Dataflow를 사용할 때 DNS 확인을 맞춤설정하려면 커스텀 BIND 서버를 사용하는 대신 Cloud DNS 비공개 영역을 사용합니다. 고유한 온프레미스 DNS 확인을 사용하려면 Google Cloud DNS 전달 방법을 사용하는 것이 좋습니다.
수직 자동 확장은 VPC 서비스 제어 경계로 보호할 수 없습니다. VPC 서비스 제어 경계에서 수직 자동 확장을 사용하려면 VPC 액세스 가능 서비스 기능을 사용 중지해야 합니다.
일부 스토리지 서비스 커넥터는 서비스 경계 내에서 Dataflow와 함께 사용할 때 작동하도록 확인되었습니다. 확인된 커넥터 목록은 이전 섹션의 '세부정보'를 참조하세요.
Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용할 때 작업자가 VPC 서비스 제어를 사용하여 리소스를 보호하는 경우와 같이 비공개 IP 주소만 있는 경우 Dataflow 작업이 실패합니다.
리소스 보호를 위해 VPC 서비스 제어를 사용하는 경우처럼 Dataflow 작업자에게 비공개 IP 주소만 있는 경우 Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용하지 마세요. 이 조합으로 사용하면 시작 시 작업이 실패합니다.
Database Migration Service용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.
Database Migration Service에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
서비스 경계는 Database Migration Service Admin API만 보호합니다. Cloud SQL 인스턴스와 같은 기본 데이터베이스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. Cloud SQL 인스턴스의 공개 IP 액세스를 제한하려면 조직 정책 제약조건을 사용합니다.
마이그레이션의 초기 덤프 단계에서 Cloud Storage 파일을 사용할 때는 동일한 서비스 경계에 Cloud Storage 버킷을 추가합니다.
대상 데이터베이스에서 고객 관리 암호화 키(CMEK)를 사용할 때는 키를 포함하는 연결 프로필과 동일한 서비스 경계에 CMEK가 있는지 확인합니다.
설정 단계는 Cloud Functions 문서를 참조하세요. Cloud Build를 사용하여 Cloud Functions를 빌드할 때 VPC 서비스 제어 보호는 빌드 단계에 적용되지 않습니다. VPC 서비스 제어 보호는 Firebase 실시간 데이터베이스 트리거와 Firebase Crashlytics 트리거를 제외한 모든 함수 트리거에 적용됩니다. 자세한 내용은 알려진 제한사항을 참조하세요.
Cloud Functions는 Cloud Build, Container Registry, Cloud Storage를 사용하여 실행 가능한 컨테이너의 소스 코드를 빌드하고 관리합니다. 이러한 서비스가 서비스 경계로 제한되면 Cloud Functions가 경계에 제한된 서비스로 추가되지 않더라도 VPC 서비스 제어에서 Cloud Functions 빌드를 차단합니다. 서비스 경계 내에서 Cloud Functions를 사용하려면 서비스 경계의 Cloud Build 서비스 계정의 인그레스 규칙을 구성해야 합니다.
npm 패키지와 같은 외부 종속 항목을 함수에서 사용할 수 있도록 Cloud Build에는 무제한 인터넷 액세스가 있습니다. 이 인터넷 액세스는 업로드된 소스 코드와 같이 빌드 시 사용할 수 있는 데이터를 추출하는 데 사용될 수 있습니다. 이 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.
Firebase 실시간 데이터베이스 트리거 및 Firebase Crashlytics 트리거의 경우 사용자는 함수가 배포된 프로젝트의 서비스 경계 외부에 있는 다른 프로젝트에서 Firebase 실시간 데이터베이스 또는 Firebase Crashlytics에 대한 변경사항에 의해 트리거될 수 있는 함수를 배포할 수 있습니다. 이 두 트리거의 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Functions 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.
서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNT 및 ANY_USER_ACCOUNT를 ID 유형으로 사용하여 로컬 머신에서 Cloud Functions를 배포할 수 없습니다.
이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.
HTTP 트리거로 Cloud Functions 서비스를 호출하면 VPC 서비스 제어 정책 시행은 클라이언트의 IAM 인증 정보를 사용하지 않습니다. IAM 주 구성원을 사용하는 VPC 서비스 제어 인그레스 정책 규칙은 지원되지 않습니다. IAM 주 구성원을 사용하는 VPC 서비스 제어 경계의 액세스 수준은 지원되지 않습니다.
미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요?
예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 이름
iam.googleapis.com
세부정보
경계로 IAM을 제한하는 경우 IAM API를 사용하는 작업만 제한됩니다. 이러한 작업에는 커스텀 IAM 역할 관리, 워크로드 아이덴티티 풀 관리, 서비스 계정 및 키 관리가 포함됩니다. 직원 풀은 조직 수준 리소스이므로 경계는 직원 풀 작업을 제한하지 않습니다.
IAM 주변의 경계는 Resource Manager 프로젝트, 폴더, 조직, 또는 Compute Engine 가상 머신 인스턴 같은 다른 서비스에서 소유한 리소스의 액세스 관리(즉, IAM 정책 가져오기 또는 설정)를 제한하지 않습니다. 이러한 리소스의 액세스 관리를 제한하려면 리소스를 소유한 서비스를 제한하는 경계를 만듭니다. IAM 정책을 허용하는 리소스 목록 및 해당 정책을 소유한 서비스의 목록은 IAM 정책을 허용하는 리소스 유형을 참조하세요.
또한 IAM 주변의 경계는 다음을 포함하여 다른 API를 사용하는 작업을 제한하지 않습니다.
IAM 정책 시뮬레이터 API
IAM 정책 문제 해결 도구 API
보안 토큰 서비스 API
Service Account Credentials API(IAM API의 레거시 signBlob 및 signJwt 메서드 포함)
Identity and Access Management에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
경계 내부에 있으면 빈 문자열로 roles.list 메서드를 호출하여 IAM 사전 정의된 역할을 나열할 수 없습니다. 사전 정의된 역할을 보려면 IAM 역할 문서를 참조하세요.
DAG 직렬화를 사용 설정하면 Airflow가 웹 UI에 렌더링된 템플릿과 함수를 함께 표시하지 않습니다.
DAG 직렬화가 사용 설정된 상태에서는 async_dagbag_loader 플래그를 True로 설정하는 것이 지원되지 않습니다.
DAG 직렬화를 사용 설정하면 Cloud Composer가 배포된 VPC 네트워크의 보안이 저하될 수 있으므로 모든 Airflow 웹 서버 플러그인이 사용 중지됩니다. 이는 Airflow 연산자와 센서를 포함하여 스케줄러 또는 작업자 플러그인의 동작에 영향을 주지 않습니다.
Cloud Composer가 경계 내에서 실행 중인 경우 공개 PyPI 저장소에 대한 액세스가 제한됩니다. Cloud Composer 문서에서 Python 종속 항목 설치를 참조하여 비공개 IP 모드에서 PyPi 모듈을 설치하는 방법을 알아보세요.
Artifact Registry 및 Container Registry의 경우 컨테이너를 저장하는 레지스트리는 배포할 프로젝트와 동일한 VPC 서비스 제어 경계에 있어야 합니다. 빌드되는 코드는 컨테이너가 푸시되는 레지스트리와 동일한 VPC 서비스 제어 경계에 있어야 합니다.
VPC 서비스 제어 경계 내에 있는 프로젝트에서는 Cloud Run 지속적 배포 기능을 사용할 수 없습니다.
Cloud Storage 서비스를 보호하는 서비스 경계 내에서 스토리지 버킷과 함께 요청자 지불 기능을 사용할 경우 경계 외부에 있는 지불할 프로젝트를 식별할 수 없습니다. 대상 프로젝트는 스토리지 버킷과 동일한 경계에 있거나 버킷의 프로젝트가 있는 경계 브리지에 있어야 합니다.
서비스 경계 내 프로젝트의 경우 Cloud Storage API가 경계로 보호되면 Google Cloud 콘솔의 Cloud Storage 페이지에 액세스할 수 없습니다. 페이지에 액세스 권한을 부여하려면 사용자 계정 또는 Cloud Storage API에 액세스하도록 허용할 공개 IP 범위가 포함된 인그레스 규칙 또는 액세스 수준을 만들어야 합니다.
감사 로그 레코드에서 resourceName 필드는 버킷을 소유한 프로젝트를 식별하지 않습니다. 프로젝트를 별도로 검색해야 합니다.
감사 로그 레코드에서 methodName 값이 항상 올바르지는 않습니다. methodName별로 Cloud Storage 감사 로그 레코드를 필터링하지 않는 것이 좋습니다.
경우에 따라 액세스가 거부되어도 Cloud Storage 레거시 버킷 로그를 서비스 경계 외부의 대상에 쓸 수 있습니다.
새 프로젝트에서 gsutil을 처음 사용하려고 하면 storage-api.googleapis.com 서비스를 사용 설정하라는 메시지가 표시될 수 있습니다. 직접 storage-api.googleapis.com을 보호할 수 없지만 서비스 경계를 사용하여 Cloud Storage API를 보호할 경우 gsutil 작업은 보호됩니다.
경우에 따라 객체에 VPC 서비스 제어를 사용 설정한 후에도 공개된 Cloud Storage 객체에 액세스할 수 있습니다. 객체는 기본 제공 캐시 및 최종 사용자와 Cloud Storage 간 네트워크의 다른 업스트림 캐시에서 만료될 때까지 액세스할 수 있습니다. Cloud Storage는 기본적으로 Cloud Storage 네트워크에서 공개적으로 액세스할 수 있는 데이터를 캐시합니다.
Cloud Storage 객체가 캐시되는 방식에 대한 자세한 내용은 Cloud Storage를 참조하세요. 객체가 캐시될 수 있는 기간에 대한 자세한 내용은 Cache-control 메타데이터를 참조하세요.
서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNT 및 ANY_USER_ACCOUNT를 서명된 URL을 사용하는 모든 Cloud Storage 작업에 대한 ID 유형으로 사용할 수 없습니다.
서비스 경계에 인그레스 또는 이그레스 정책을 지정하면 모든 Container Registry 작업의 ID 유형으로 ANY_SERVICE_ACCOUNT와 ANY_USER_ACCOUNT를 사용할 수 없습니다.
이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.
Container Registry는 gcr.io 도메인을 사용하므로 *.gcr.io이 private.googleapis.com 또는 restricted.googleapis.com에 매핑될 수 있도록 DNS를 구성해야 합니다.
자세한 내용은 서비스 경계에서 Container Registry 보호를 참조하세요.
Container Registry에서 사용 가능한 경계 내에 있는 컨테이너 외에도 다음과 같은 읽기 전용 저장소는 서비스 경계에서 적용하는 제한 사항과 관계없이 모든 프로젝트에서 사용 가능합니다.
Google Kubernetes Engine용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.
Google Kubernetes Engine에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
VPC 서비스 제어를 사용하여 비공개 클러스터만 보호할 수 있습니다. 공개 IP 주소가 있는 클러스터는 VPC 서비스 제어에서 지원되지 않습니다.
자동 확장은 GKE와 독립적으로 작동합니다. VPC 서비스 제어가 autoscaling.googleapis.com을 지원하지 않으므로 자동 확장이 작동하지 않습니다.
GKE를 사용하면 autoscaling.googleapis.com 서비스로 인해 발생하는 감사 로그에서 SERVICE_NOT_ALLOWED_FROM_VPC 위반을 무시할 수 있습니다.
미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요?
예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 이름
containerfilesystem.googleapis.com
세부정보
이미지 스트리밍은 Artifact Registry에 저장된 이미지에 대해 컨테이너 이미지 가져오기 시간을 단축하는 GKE 데이터 스트리밍 기능입니다.
VPC 서비스 제어가 컨테이너 이미지를 보호하고 이미지 스트리밍을 사용하는 경우 서비스 경계에 이미지 스트리밍 API도 포함해야 합니다.
프로젝트 리소스 및 해당 태그 값이 직접적인 상위 요소인 태그 키만 VPC 서비스 제어를 사용하여 보호할 수 있습니다. 프로젝트가 VPC 서비스 제어 경계에 추가되면 프로젝트의 모든 태그 키 및 해당 태그 값이 경계 내 리소스로 간주됩니다.
조직 리소스와 해당 태그 값이 상위 요소인 태그 키는 VPC 서비스 제어 경계에 포함될 수 없으며 VPC 서비스 제어를 사용하여 보호할 수 없습니다.
VPC 서비스 제어 경계 내부의 클라이언트는 액세스를 허용하는 이그레스 규칙이 경계에 설정되어 있지 않으면 조직 리소스의 상위 요소인 태그 키 및 해당 값에 액세스할 수 없습니다. 이그레스 규칙 설정에 대한 자세한 내용은 인그레스 및 이그레스 규칙을 참조하세요.
태그 바인딩은 태그 값이 바인딩된 리소스와 동일한 경계 내에 있는 리소스로 간주됩니다. 예를 들어 프로젝트에 있는 Compute Engine 인스턴스의 태그 바인딩은 태그 키가 정의된 위치에 관계없이 해당 프로젝트에 속하는 것으로 간주됩니다.
Compute Engine과 같은 일부 서비스는 Resource Manager 서비스 API 외에도 자체 서비스 API를 사용하여 태그 바인딩을 만들 수 있도록 허용합니다. 예를 들어 리소스 생성 중에 Compute Engine VM에 태그를 추가합니다. 이러한 서비스 API를 사용하여 만들거나 삭제한 태그 바인딩을 보호하려면 compute.googleapis.com 등의 해당 서비스를 경계의 제한된 서비스 목록에 추가합니다.
태그는 메서드 수준 제한사항을 지원하므로 method_selectors를 특정 API 메서드로 지정할 수 있습니다. 제한될 수 있는 메서드 목록은 지원되는 서비스 메서드 제한사항을 참조하세요.
Google Cloud 콘솔을 통한 프로젝트에 대한 소유자 역할 부여가 이제 VPC 서비스 제어에서 지원됩니다. 소유자 초대를 보내거나 서비스 경계 외부의 초대를 수락할 수 없습니다. 경계 외부의 초대를 수락하려고 하면 소유자 역할이 부여되지 않으며 오류 또는 경고 메시지가 표시되지 않습니다.
집계된 로그 싱크(폴더 또는 includeChildren이 true인 조직 싱크)는 서비스 경계 내 프로젝트에서 데이터에 액세스할 수 있습니다. 경계 내의 데이터에 액세스할 때 집계된 로그 싱크를 제한하려면 IAM을 사용해서 폴더 수준 또는 조직 수준의 집계된 로그 싱크에서 Logging 권한을 관리하는 것이 좋습니다.
VPC 서비스 제어에서는 폴더나 조직 리소스를 서비스 경계에 추가할 수 없습니다. 따라서 VPC 서비스 제어를 사용하여 집계 로그를 포함한 폴더 수준 로그와 조직 수준 로그를 보호할 수 없습니다. 폴더 수준 또는 조직 수준에서 Logging 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
조직 수준이나 폴더 수준 로그 싱크를 사용하여 로그를 서비스 경계가 보호하는 리소스에 라우팅하는 경우 인그레스 규칙을 서비스 경계에 추가해야 합니다. 인그레스 규칙은 로그 싱크에서 사용하는 서비스 계정의 리소스에 대한 액세스를 허용해야 합니다. 프로젝트 수준 싱크에는 이 단계가 필요 없습니다.
알림 채널, 알림 정책 및 커스텀 측정항목을 함께 사용하여 데이터/메타데이터를 추출할 수 있습니다. 현 시점부터 Monitoring 사용자는 조직 외부의 항목(예: 'baduser@badcompany.com')을 가리키는 알림 채널을 설정할 수 있습니다. 그런 다음 사용자는 알림 채널을 활용하는 커스텀 측정항목과 해당 알림 정책을 설정합니다. 이를 통해 사용자는 커스텀 측정항목을 조작하여 알림을 트리거하고 VPC 서비스 제어 경계 외부에 있는 baduser@badcompany.com으로 민감한 정보 추출을 알리는 알림을 보낼 수 있습니다.
Monitoring 에이전트가 설치된 모든 Compute Engine 또는 AWS VM은 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 에이전트 측정항목 쓰기가 실패합니다.
모든 GKE Pod는 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 GKE 모니터링이 작동하지 않습니다.
측정항목 범위에 대한 측정항목을 쿼리할 때는 측정항목 범위에 대한 범위 지정 프로젝트의 VPC 서비스 제어 경계만 고려합니다. 측정항목 범위에서 개별 모니터링 프로젝트의 경계는 고려하지 않습니다.
프로젝트가 측정항목 범위 지정 프로젝트와 동일한 VPC 서비스 제어 경계에 있으면 프로젝트는 기존 측정항목 범위에만 모니터링 프로젝트로 추가될 수 있습니다.
서비스 경계로 보호되는 호스트 프로젝트의 Google Cloud 콘솔에서 Monitoring에 액세스하려면 인그레스 규칙을 사용합니다.
VPC 서비스 제어는 서비스 경계 내에 있는 리소스 및 클라이언트의 폴더 수준 또는 조직 수준 Cloud Asset API 리소스에 대한 액세스를 지원하지 않습니다. VPC 서비스 제어는 프로젝트 수준의 Cloud Asset API 리소스를 보호합니다 경계 내부의 프로젝트에서 프로젝트 수준 Cloud Asset API 리소스에 액세스하지 못하도록 이그레스 정책을 지정할 수 있습니다.
VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 Cloud Asset API 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준 또는 조직 수준의 Cloud Asset API 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Cloud 애셋 인벤토리 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
폴더 또는 조직 수준에서 애셋을 서비스 경계 내 대상으로 내보낼 수 없습니다.
서비스 경계 내에서 Pub/Sub 주제를 사용하여 폴더 또는 조직 수준의 애셋에 대한 실시간 피드를 만들 수 없습니다.
Cloud Translation - Advanced(v3)는 VPC 서비스 제어를 지원하지만 Cloud Translation - Basic(v2)은 지원하지 않습니다. VPC 서비스 제어를 적용하려면 Cloud Translation - Advanced(v3)를 사용해야 합니다. 다른 버전에 대한 자세한 내용은 기본 및 고급 비교를 참조하세요.
Storage Transfer Service 프로젝트를 Cloud Storage 리소스와 동일한 서비스 경계 내에 배치하는 것이 좋습니다. 그러면 전송과 Cloud Storage 리소스가 모두 보호됩니다. 또한 Storage Transfer Service는 이그레스 정책을 사용하여 Storage Transfer Service 프로젝트가 Cloud Storage 버킷과 동일한 경계에 있지 않은 시나리오도 지원합니다.
청구 또는 분석 측정항목이 보고되도록 Service Control이 제한된 서비스 경계의 VPC 네트워크에서 Service Control API를 호출하면 VPC 서비스 제어 지원 서비스의 측정항목을 보고하는 데 Service Control 보고서만 사용할 수 있습니다.
서비스 경계는 Redis용 Memorystore API만 보호합니다. 경계는 동일한 네트워크 내의 Redis용 Memorystore 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.
Cloud Storage API도 보호할 경우 Redis용 Memorystore 가져오기 및 내보내기 작업은 Redis용 Memorystore 인스턴스와 동일한 서비스 경계 내 Cloud Storage 버킷에만 읽고 쓸 수 있습니다.
공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Redis 요청에 성공하려면 네트워크를 제공하는 호스트 프로젝트와 동일한 경계 내에 Redis 인스턴스가 포함된 서비스 프로젝트가 있어야 합니다. 언제든지 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 Redis 인스턴스가 실패하고 요청이 차단됩니다. 자세한 내용은 Redis용 Memorystore 구성 요구사항을 참조하세요.
VPC 서비스 제어에서는 프로젝트에서 상속하는 폴더 수준이나 조직 수준의 조직 정책에 대한 액세스를 제한할 수 없습니다.
VPC 서비스 제어는 프로젝트 수준의 조직 정책 서비스 API 리소스를 보호합니다.
예를 들어 인그레스 규칙에서 사용자가 조직 정책 서비스 API에 액세스하지 못하도록 제한하는 경우 프로젝트에 적용된 조직 정책을 쿼리할 때 해당 사용자에게 403 오류가 발생합니다. 그러나 사용자는 프로젝트가 포함된 폴더와 조직의 조직 정책에 계속 액세스할 수 있습니다.
VM Manager는 패키지 및 패치 콘텐츠를 호스팅하지 않습니다. OS 패치 관리는 패키지 업데이트와 패치를 VM에서 가져올 수 있어야 하는 운영체제의 업데이트 도구를 사용합니다. 패치가 작동하려면 Cloud NAT를 사용하거나 Virtual Private Cloud 내에서 고유 패키지 저장소 또는 Windows Server Update Service를 호스팅해야 할 수 있습니다.
서비스 경계는 Filestore API만 보호합니다. 경계는 동일한 네트워크 내의 Filestore 인스턴스에서 일반 NFS 데이터 액세스를 보호하지 않습니다.
공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Filestore 인스턴스가 올바르게 작동하려면 네트워크를 제공하는 호스트 프로젝트와 Filestore 인스턴스가 포함된 서비스 프로젝트가 동일한 경계 내에 있어야 합니다. 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 기존 인스턴스를 사용할 수 없게 되고 새 인스턴스가 생성되지 않을 수 있습니다.
Ads Data Hub와 VPC 서비스 제어에는 다른 서비스 약관이 적용됩니다. 자세한 내용은 각 제품의 약관을 참조하세요.
특정 Ads Data Hub 기능(예: 커스텀 잠재고객 활성화, 커스텀 입찰, LiveRamp 데이터 이동 색인)을 사용하려면 특정 사용자 데이터를 VPC 서비스 제어 경계 외부로 내보내야 합니다. Ads Data Hub를 제한된 서비스로 추가할 경우 기능을 유지하기 위해 이러한 기능의 VPC 서비스 제어 정책을 우회합니다.
모든 종속 서비스는 동일한 VPC 서비스 제어 경계에서 허용되는 서비스로 포함되어야 합니다. 예를 들어 Ads Data Hub는 BigQuery를 사용하므로 BigQuery도 추가해야 합니다. 일반적으로 VPC 서비스 제어 권장사항에 따라 경계에 모든 서비스를 포함하는 것이 좋습니다(즉, '모든 서비스 제한').
다중 계층 Ads Data Hub 계정 구조가 있는 고객(예: 자회사가 있는 대행사)은 동일한 경계에 있는 모든 관리자 프로젝트를 가지고 있어야 합니다. Ads Data Hub에서는 편의상 다중 계층 계정 구조를 사용하는 고객이 관리 프로젝트를 동일한 Google Cloud 조직으로 제한하도록 권장합니다.
VPC 서비스 제어는 요청의 대상이 프로젝트 수준 리소스인 경우에만 토큰 교환을 제한합니다. 예를 들어 권한이 축소된 토큰의 경우 해당 요청에 대상이 포함되지 않기 때문에 요청이 제한되지 않습니다. 또한 대상은 조직 수준 리소스이므로 직원 ID 제휴에 대한 요청을 제한하지 않습니다.
firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com 서비스는 함께 번들로 제공됩니다.
경계에서 firestore.googleapis.com 서비스를 제한하면 경계가 datastore.googleapis.com 및 firestorekeyvisualizer.googleapis.com 서비스도 제한합니다.
gcloud services vpc-peerings enable-vpc-service-controls 명령어를 사용하여 서비스 프로듀서 프로젝트에서 인터넷 기본 경로를 삭제하면 관리 콘솔에 액세스하거나 배포할 수 없습니다. 이 문제가 발생하면 Google Cloud Customer Care에 문의하세요.
Application Integration은 핵심 비즈니스 시스템 워크플로를 생성, 보강, 디버그, 이해할 수 있는 공동작업 워크플로 관리 시스템입니다.
Application Integration의 워크플로는 트리거와 태스크로 구성됩니다.
API 트리거/Pub/Sub 트리거/크론 트리거/sfdc 트리거와 같은 여러 종류의 트리거가 있습니다.
Cloud Workstations를 완벽하게 보호하려면 Cloud Workstations API를 제한할 때마다 서비스 경계에서 Compute Engine API를 제한해야 합니다.
Google Cloud Storage API, Google Container Registry API, Artifact Registry API가 서비스 경계에서 VPC에 액세스할 수 있는지 확인합니다. 이렇게 하면 이미지를 워크스테이션으로 가져와야 합니다. 또한 Cloud Workstations을 사용하는 데 필수적인 것은 아니지만, Cloud Logging API 및 Cloud Error Reporting API가 서비스 경계에서 VPC에 액세스할 수 있도록 허용하는 것이 좋습니다.
워크스테이션 클러스터가 비공개인지 확인합니다.
비공개 클러스터를 구성하면 VPC 서비스 경계 외부에서 워크스테이션에 연결할 수 없습니다.
Cloud IDS는 Cloud Logging을 사용하여 프로젝트에 위협 로그를 만듭니다. Cloud Logging이 서비스 경계로 제한되는 경우 Cloud IDS가 경계에 제한된 서비스로 추가되지 않더라도 VPC 서비스 제어가 Cloud IDS 위협 로그를 차단합니다. 서비스 경계 내에서 Cloud IDS를 사용하려면 서비스 경계의 Cloud Logging 서비스 계정의 인그레스 규칙을 구성해야 합니다.
경계를 설정하여 Policy Troubleshooter API를 제한하면 주 구성원은 요청과 관련된 모든 리소스가 동일한 경계 내에 있는 경우에만 IAM 정책 문제를 해결할 수 있습니다. 일반적으로 문제 해결 요청에는 두 가지 리소스가 포함됩니다.
액세스 문제를 해결하는 리소스. 이 리소스는 모든 유형이 될 수 있습니다. 허용 정책 문제를 해결할 때 이 리소스를 명시적으로 지정하세요.
액세스 문제를 해결하는 데 사용하는 리소스. 이 리소스는 프로젝트, 폴더 또는 조직입니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.
이 리소스는 액세스 문제를 해결하려는 리소스와 동일할 필요는 없지만 반드시 일치할 필요는 없습니다.
경계를 사용하여 정책 시뮬레이터 API를 제한하는 경우 주 구성원은 시뮬레이션과 관련된 특정 리소스가 동일한 경계에 있는 경우에만 허용 정책을 시뮬레이션할 수 있습니다. 시뮬레이션에는 몇 가지 리소스가 포함되어 있습니다.
허용 정책을 시뮬레이션할 리소스입니다. 이 리소스를 대상 리소스라고도 합니다. Google Cloud 콘솔에서 허용 정책을 수정하는 리소스입니다. gcloud CLI 및 REST API에서 허용 정책을 시뮬레이션할 때 이 리소스를 명시적으로 지정합니다.
시뮬레이션을 만들고 실행하는 프로젝트, 폴더 또는 조직입니다. 이 리소스를 호스트 리소스라고도 합니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.
이 리소스는 액세스를 시뮬레이션하는 리소스와 동일할 수 있지만 반드시 그럴 필요는 없습니다.
시뮬레이션에 대한 액세스 로그를 제공하는 리소스입니다. 시뮬레이션에는 시뮬레이션에 대한 액세스 로그를 제공하는 리소스가 항상 하나 있습니다. 이 리소스는 대상 리소스 유형에 따라 다릅니다.
프로젝트 또는 조직에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 프로젝트 또는 조직의 액세스 로그를 검색합니다.
다른 유형의 리소스에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 리소스의 상위 프로젝트 또는 조직에 대해 액세스 로그를 검색합니다.
한 번에 리소스 허용 정책 여러 개를 시뮬레이션하는 경우 정책 시뮬레이터는 리소스의 가장 일반적인 프로젝트나 조직의 액세스 로그를 검색합니다.
관련 허용 정책이 지원되는 모든 지원되는 리소스.
정책 시뮬레이터가 시뮬레이션을 실행할 때 대상 리소스의 상위 및 하위 리소스에 대한 허용 정책을 포함하여 사용자 액세스에 영향을 줄 수 있는 모든 허용 정책을 고려합니다. 따라서 이러한 상위 리소스와 하위 리소스도 시뮬레이션에 포함됩니다.
대상 리소스와 호스트 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.
대상 리소스와 시뮬레이션을 위한 액세스 로그를 제공하는 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.
대상 리소스와 관련 허용 정책이 지원되는 일부 지원되는 리소스가 동일한 경계에 있지 않으면 요청이 성공하지만 결과가 불완전할 수 있습니다. 예를 들어 경계에서 프로젝트에 대한 정책을 시뮬레이션하는 경우 조직은 항상 VPC 서비스 제어 경계 외부에 있으므로 프로젝트의 상위 조직의 허용 정책이 결과에 포함되지 않습니다. 보다 완전한 결과를 얻기 위해 경계에 대한 인그레스 및 이그레스 규칙을 구성할 수 있습니다.
Identity Platform을 완벽하게 보호하려면 토큰 새로고침을 허용하도록 Secure Token API(securetoken.googleapis.com)를 서비스 경계에 추가합니다. securetoken.googleapis.com은 Google Cloud 콘솔의 VPC 서비스 제어 페이지에 나열되지 않습니다.
gcloud access-context-manager perimeters update 명령어로만 이 서비스를 추가할 수 있습니다.
애플리케이션이 차단 함수 기능과 통합되는 경우 Cloud Functions(cloudfunctions.googleapis.com)를 서비스 경계에 추가합니다.
SMS 기반 다중 인증(MFA), 이메일 인증 또는 타사 ID 공급업체를 사용하면 경계 외부로 데이터가 전송됩니다. SMS, 이메일 인증 또는 타사 ID 공급업체에 MFA를 사용하지 않는 경우 이 기능을 사용 중지하세요.
Identity Platform을 완벽하게 보호하려면 토큰 새로고침을 허용하도록 Secure Token API(securetoken.googleapis.com)를 서비스 경계에 추가합니다. securetoken.googleapis.com은 Google Cloud 콘솔의 VPC 서비스 제어 페이지에 나열되지 않습니다.
gcloud access-context-manager perimeters update 명령어로만 이 서비스를 추가할 수 있습니다.
애플리케이션이 차단 함수 기능과 통합되는 경우 Cloud Functions(cloudfunctions.googleapis.com)를 서비스 경계에 추가합니다.
SMS 기반 다중 인증(MFA), 이메일 인증 또는 타사 ID 공급업체를 사용하면 경계 외부로 데이터가 전송됩니다. SMS, 이메일 인증 또는 타사 ID 공급업체에 MFA를 사용하지 않는 경우 이 기능을 사용 중지하세요.
미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
경계로 보호하나요?
아니요. 베어메탈용 Google Distributed Cloud Virtual API는 서비스 경계로 보호할 수 없습니다.
그러나 경계 내부의 프로젝트에서는 베어메탈용 Google Distributed Cloud Virtual을 정상적으로 사용할 수 있습니다.
세부정보
Cloud Interconnect 또는 Cloud VPN을 사용하여 VPC에 연결된 환경에서 클러스터를 만들 수 있습니다.
베어메탈용 Google Distributed Cloud Virtual에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
베어메탈용 GDCV를 사용하여 클러스터를 만들거나 업그레이드하는 경우 Service Usage API(serviceusage.googleapis.com)는 VPC 서비스 제어에서 지원되지 않으므로 --skip-api-check 및 bmctl 플래그를 사용하여 Service Usage API(serviceusage.googleapis.com) 호출을 우회합니다.
베어메탈용 GDCV는 Service Usage API를 호출하여 프로젝트 내에 필요한 API가 사용 설정되었는지 검증합니다. API 엔드포인트의 연결 가능성을 검증하는 데에는 사용되지 않습니다.
베어메탈용 GDCV를 보호하려면 베어메탈용 GDCV에서 제한된 VIP를 사용하고 다음 API를 모두 서비스 경계에 추가합니다.
Looker(Google Cloud 핵심 서비스)용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.
Looker(Google Cloud 핵심 서비스)에 대한 자세한 내용은 제품 문서를 참조하세요.
제한사항
비공개 IP 연결을 사용하는 Looker(Google Cloud 핵심 서비스) 인스턴스의 엔터프라이즈 또는 임베디드 버전은 VPC 서비스 제어 규정 준수를 지원합니다. 공개 IP 연결 또는 공개 및 비공개 IP 연결이 모두 있는 Looker(Google Cloud 핵심 서비스) 인스턴스는 VPC 서비스 제어 규정 준수를 지원하지 않습니다. 비공개 IP 연결을 사용하는 인스턴스를 만들려면 Google Cloud 콘솔의 인스턴스 만들기 페이지의 네트워킹 섹션에서 비공개 IP를 선택합니다.
VPC 서비스 제어 서비스 경계 내에 Looker(Google Cloud 핵심) 인스턴스를 배치하거나 만들 때 services.enableVpcServiceControls 메서드를 호출하거나 다음 gcloud 명령어를 실행하여 인터넷에 대한 기본 경로를 삭제해야 합니다.
VPC 서비스 제어는 서비스 경계 내에 있는 리소스와 클라이언트에서 폴더 수준 또는 조직 수준의 Security Command Center API 리소스에 대한 액세스를 지원하지 않습니다. VPC 서비스 제어는 프로젝트 수준의 Security Command Center API 리소스를 보호합니다. 경계 내부의 프로젝트에서 프로젝트 수준의 Security Command Center API 리소스에 액세스하지 못하도록 이그레스 정책을 지정할 수 있습니다.
VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 Security Command Center API 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준이나 조직 수준의 Security Command Center API 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Security Command Center 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
폴더 또는 조직 수준에서 발견 항목을 서비스 경계 내에 있는 대상으로 내보낼 수 없습니다.
