경계 외부의 서비스 경계에서 보호되는 Google Cloud 리소스에 대해 제어된 액세스를 부여하려면 액세스 수준을 사용합니다.
액세스 수준은 요청에서 충족되어야 하는 속성 집합을 정의합니다. 액세스 수준은 IP 주소 및 사용자 ID와 같은 다양한 기준을 포함할 수 있습니다.
액세스 수준에 대한 자세한 개요를 보려면 Access Context Manager 개요를 읽어보세요.
VPC 서비스 제어에서 액세스 수준 사용 시 제한사항
VPC 서비스 제어에서 액세스 수준을 사용할 때 다음과 같은 특정 제한사항이 적용됩니다.
액세스 수준을 사용하여 경계 내에서 보호되는 서비스의 리소스에 대한 경계 외부의 요청을 허용할 수 있습니다.
액세스 수준을 사용하여 경계 외부에 있는 리소스의 경계 내에서 보호되는 리소스의 요청을 허용할 수 없습니다. 예를 들어 서비스 경계 내에 있는 Compute Engine 클라이언트에서 이미지 리소스가 경계 외부에 있는 Compute Engine
create작업을 호출합니다. 경계 내부의 보호되는 리소스에서 경계 외부의 리소스에 대한 액세스를 허용하려면 이그레스 정책을 사용합니다.액세스 수준은 서비스 경계 외부의 요청을 허용하는 데 사용되지만 다른 경계에서 경계에 있는 보호된 리소스에 대한 요청을 허용하는 액세스 수준을 사용할 수 없습니다. 다른 경계에서 경계에 있는 보호되는 리소스에 대한 요청을 허용하려면 다른 경계에서 이그레스 정책을 사용해야 합니다. 자세한 내용은 경계 간 요청을 참조하세요.
IP 기반 허용 목록의 액세스 수준에서는 공개 IP 주소 범위만 사용할 수 있습니다. 이러한 허용 목록에는 내부 IP 주소를 포함할 수 없습니다. 내부 IP 주소는 VPC 네트워크와 연결되고, VPC 네트워크는 인그레스 또는 이그레스 규칙 또는 서비스 경계를 사용하는 포함된 프로젝트에서 참조되어야 합니다.
액세스 수준 만들기 및 관리
액세스 수준은 Access Context Manager를 사용하여 생성되고 관리됩니다.
액세스 수준 만들기
액세스 수준을 만들려면 Access Context Manager 문서에서 액세스 수준 만들기를 읽어보세요.
다음 예에서는 여러 조건을 사용하여 액세스 수준을 만드는 방법을 설명합니다.
- IP 주소
- 사용자 및 서비스 계정(주 구성원)
- 기기 정책
서비스 경계에 액세스 수준 추가
경계를 만들 때 액세스 수준을 서비스 경계에 추가하거나 기존 경계에 추가할 수 있습니다.
경계를 만들 때 액세스 수준 추가 읽어보기
기존 경계에 액세스 수준 추가 읽어보기
액세스 수준 관리
기존 액세스 수준의 나열, 수정, 삭제에 대한 자세한 내용은 액세스 수준 관리를 참조하세요.