서비스 경계 내의 네트워크에서 액세스할 수 있는 서비스를 정의하려면 VPC 액세스 가능 서비스 기능을 사용합니다. VPC 액세스 서비스 기능은 서비스 경계 내의 네트워크 엔드 포인트에서 액세스할 수 있는 서비스 집합을 제한합니다.
VPC 액세스 가능 서비스 기능은 VPC 네트워크 엔드 포인트에서 Google API로의 트래픽에만 적용됩니다. 서비스 경계와 달리 VPC 액세스 서비스 기능은 특정 Google Cloud 서비스를 구현하는 데 사용되는 한 Google API 간의 통신이나 테넌시 유닛의 네트워크에는 적용되지 않습니다.
경계의 VPC 액세스 가능 서비스를 구성할 때 경계로 보호되는 모든 서비스를 자동으로 포함하는 RESTRICTED-SERVICES 값을 포함할 수 있을 뿐만 아니라 개별 서비스 목록을 지정할 수 있습니다.
예상되는 서비스에 대한 액세스를 완전히 제한하려면 다음을 수행해야 합니다.
액세스 권한을 부여하려는 것과 동일한 서비스 집합을 보호하도록 경계를 구성합니다.
제한된 VIP를 사용하도록 경계의 VPC를 구성합니다.
Layer 3 방화벽을 사용합니다.
예시: Cloud Storage 액세스만 가능한 VPC 네트워크
my-authorized-compute-project 및 my-authorized-gcs-project라는 두 프로젝트가 포함된 서비스 경계 my-authorized-perimeter가 있다고 가정합니다.
경계는 Cloud Storage 서비스를 보호합니다.
my-authorized-gcs-project는 Cloud Storage, Bigtable 등을 포함하여 다양한 서비스를 사용합니다.
my-authorized-compute-project는 VPC 네트워크를 호스팅합니다.
두 프로젝트는 경계를 공유하므로 my-authorized-compute-project의 VPC 네트워크는 경계가 이러한 서비스를 보호하는지 여부에 관계없이 my-authorized-gcs-project의 서비스 리소스에 액세스할 수 있습니다. 하지만 VPC 네트워크는 my-authorized-gcs-project의 Cloud Storage 리소스에만 액세스할 수 있어야 합니다.
VPC 네트워크에 있는 VM의 사용자 인증 정보가 도용되면 이러한 VM을 사용하여 my-authorized-gcs-project에서 사용 가능한 모든 데이터의 데이터를 유출할 수 있다는 우려가 있습니다.
VPC 네트워크에서 VPC 서비스 제어가 지원하는 API로만 액세스를 제한하는 제한된 VIP를 사용하도록 VPC 네트워크를 이미 구성했습니다. 안타깝게도 VPC 네트워크가 my-authorized-gcs-project의 Bigtable 리소스와 같은 지원되는 서비스에 액세스하는 것을 방지하지 않습니다.
VPC 네트워크의 액세스를 스토리지 서비스로 제한하려면 VPC 액세스 가능 서비스를 사용 설정하고 storage.googleapis.com를 허용된 서비스로 설정합니다.
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
완료. 이제 my-authorized-compute-project의 VPC 네트워크가 Cloud Storage 서비스의 리소스에만 액세스할 수 있습니다. 이 제한은 나중에 경계에 추가하는 모든 프로젝트 및 VPC 네트워크에도 적용됩니다.