경계 외부의 서비스 경계에서 보호되는 Google Cloud 리소스에 대해 제어된 액세스를 부여하려면 액세스 수준을 사용합니다.
액세스 수준은 요청에서 충족되어야 하는 속성 집합을 정의합니다. 액세스 수준은 IP 주소 및 사용자 ID와 같은 다양한 기준을 포함할 수 있습니다.
액세스 수준에 대한 자세한 개요를 보려면 Access Context Manager 개요를 읽어보세요.
VPC 서비스 제어에서 액세스 수준 사용 시 제한사항
VPC 서비스 제어에서 액세스 수준을 사용할 때 다음과 같은 특정 제한사항이 적용됩니다.
액세스 수준을 사용하여 경계 내에서 보호되는 서비스의 리소스에 대한 경계 외부의 요청을 허용할 수 있습니다.
액세스 수준을 사용하여 경계 외부에 있는 리소스의 경계 내에서 보호되는 리소스의 요청을 허용할 수 없습니다. 예를 들어 서비스 경계 내에 있는 Compute Engine 클라이언트에서 이미지 리소스가 경계 외부에 있는 Compute Engine
create
작업을 호출합니다. 경계 내부의 보호되는 리소스에서 경계 외부의 리소스에 대한 액세스를 허용하려면 이그레스 정책을 사용합니다.액세스 수준은 서비스 경계 외부의 요청을 허용하는 데 사용되지만 다른 경계에서 경계에 있는 보호된 리소스에 대한 요청을 허용하는 액세스 수준을 사용할 수 없습니다. 다른 경계에서 경계에 있는 보호되는 리소스에 대한 요청을 허용하려면 다른 경계에서 이그레스 정책을 사용해야 합니다. 자세한 내용은 경계 간 요청을 참조하세요.
IP 기반 허용 목록의 액세스 수준에서는 공개 IP 주소 범위만 사용할 수 있습니다. 이러한 허용 목록에는 내부 IP 주소를 포함할 수 없습니다. 내부 IP 주소는 VPC 네트워크와 연결되고, VPC 네트워크는 인그레스 또는 이그레스 규칙 또는 서비스 경계를 사용하는 포함된 프로젝트에서 참조되어야 합니다.
다른 프로젝트 또는 조직에 배포된 비공개 리소스에서 경계 액세스를 허용하려면 소스 프로젝트에 Cloud NAT 게이트웨이가 필요합니다. Cloud NAT는 비공개 Google 액세스와 통합되어 리소스의 서브넷에서 비공개 Google 액세스를 자동으로 사용 설정하고 Cloud NAT 게이트웨이 외부 IP 주소를 사용하여 트래픽을 인터넷으로 라우팅하는 대신 Google API 및 서비스로의 트래픽을 내부로 유지합니다. 트래픽이 내부 Google 네트워크 내에서 라우팅되므로
AuditLog
객체의RequestMetadata.caller_ip
필드가gce-internal-ip
로 수정됩니다. IP 기반 허용 목록의 액세스 수준에서 Cloud NAT 게이트웨이 외부 IP 주소를 사용하는 대신 프로젝트 또는 서비스 계정과 같은 다른 속성을 기반으로 액세스를 허용하도록 인그레스 규칙을 구성합니다.
액세스 수준 만들기 및 관리
액세스 수준은 Access Context Manager를 사용하여 생성되고 관리됩니다.
액세스 수준 만들기
액세스 수준을 만들려면 Access Context Manager 문서에서 액세스 수준 만들기를 읽어보세요.
다음 예에서는 여러 조건을 사용하여 액세스 수준을 만드는 방법을 설명합니다.
- IP 주소
- 사용자 및 서비스 계정(주 구성원)
- 기기 정책
서비스 경계에 액세스 수준 추가
경계를 만들 때 액세스 수준을 서비스 경계에 추가하거나 기존 경계에 추가할 수 있습니다.
경계를 만들 때 액세스 수준 추가 읽어보기
기존 경계에 액세스 수준 추가 읽어보기
액세스 수준 관리
기존 액세스 수준의 나열, 수정, 삭제에 대한 자세한 내용은 액세스 수준 관리를 참조하세요.