Private Service Connect 프로듀서의 보안 관리

이 페이지에서는 서비스 프로듀서가 Private Service Connect를 사용하는 프로듀서 조직 및 프로젝트에 대한 보안을 구현하는 방법을 설명합니다.

소비자 허용 목록을 사용하면 서비스 소유자는 개별 서비스 연결에 연결할 수 있는 네트워크나 프로젝트를 지정할 수 있습니다. 조직 정책은 서비스 연결에 대한 액세스 권한도 제어하지만, 네트워크 관리자가 조직의 모든 서비스 첨부파일에 대한 액세스 권한을 광범위하게 제어할 수 있습니다.

소비자 허용 목록과 조직 정책은 상호 보완적이며 함께 사용할 수 있습니다. 이 경우 Private Service Connect 연결은 이러한 두 가지 보안 메커니즘에서 모두 승인된 경우에만 생성됩니다.

역할

조직 정책을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

프로듀서 조직 정책

compute.restrictPrivateServiceConnectConsumer 목록 제약조건과 함께 조직 정책을 사용하여 Private Service Connect 서비스 연결에 연결할 수 있는 엔드포인트와 백엔드를 제어할 수 있습니다. 엔드포인트 또는 백엔드가 프로듀서 조직 정책에 의해 거부되면 리소스 생성은 성공하지만 연결이 거부된 상태로 전환됩니다.

자세한 내용은 프로듀서 측 조직 정책을 참조하세요.

승인되지 않은 엔드포인트 및 백엔드의 연결 거부

리소스: 엔드포인트 및 백엔드

gcloud

  1. 새 정책을 저장할 /tmp/policy.yaml이라는 임시 파일을 만듭니다. 파일에 다음 콘텐츠를 추가합니다.

    name: organizations/PRODUCER_ORG/policies/compute.restrictPrivateServiceConnectConsumer
spec:
  rules:
    - values:
        allowedValues:
        - under:organizations/CONSUMER_ORG_NUMBER

    다음을 바꿉니다.

    • PRODUCER_ORG: 소비자 Private Service Connect 액세스를 제어하려는 프로듀서 조직의 조직 ID입니다.
    • CONSUMER_ORG_NUMBER: 프로듀서 조직의 서비스 연결에 연결하도록 허용할 소비자 조직의 숫자 리소스 ID입니다.

    프로젝트에서 서비스에 연결할 수 있는 추가 조직을 지정하려면 allowedValues 섹션에 추가 항목을 포함합니다.

    조직 외에도 다음 형식으로 승인된 폴더 및 프로젝트를 지정할 수 있습니다.

    • under:folders/FOLDER_ID

      FOLDER_ID는 숫자 ID여야 합니다.

    • under:projects/PROJECT_ID

      PROJECT_ID는 문자열 ID여야 합니다.

    예를 들어 다음 파일은 소비자가 허용된 값 또는 허용된 값의 하위 요소와 연결되지 않은 경우 Producer-org-1의 엔드포인트 또는 백엔드를 서비스 연결에 연결하지 못하도록 거부하는 조직 정책 구성을 보여줍니다. 허용된 값은 조직 Consumer-org-1, 프로젝트 Consumer-project-1, 폴더 Consumer-folder-1입니다.

    name: organizations/Producer-org-1/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
  - values:
      allowedValues:
      - under:organizations/Consumer-org-1
      - under:projects/Consumer-project-1
      - under:folders/Consumer-folder-1

  2. 정책을 적용합니다.

    gcloud org-policies set-policy /tmp/policy.yaml

  3. 적용되는 정책을 확인합니다.

    gcloud org-policies describe compute.restrictPrivateServiceConnectConsumer \
    --effective \
    --organization=PRODUCER_ORG

소비자 허용 및 거부 목록

리소스: 엔드포인트 및 백엔드

소비자 허용 및 거부 목록은 서비스 연결과 관련되어 있습니다. 이러한 목록을 사용하면 소비자 프로젝트 또는 네트워크의 연결을 명시적으로 허용하거나 거부할 수 있습니다.

자세한 내용은 소비자 허용 및 거부 목록을 참고하세요.

허용 목록과 조직 정책 간의 상호작용

소비자 허용 목록과 조직 정책 모두 두 Private Service Connect 리소스 간에 연결을 설정할 수 있는지 여부를 제어합니다. 허용 목록 또는 조직 정책이 연결을 거부하면 연결이 차단됩니다.

예를 들어 restrictPrivateServiceConnectConsumer 제약조건이 있는 정책은 프로듀서 조직 외부의 연결을 차단할 수 있습니다. 서비스 연결이 모든 연결을 자동으로 수락하도록 구성되어 있더라도 조직 정책은 프로듀서 조직 외부의 연결을 계속 차단합니다. 계층화된 보안을 제공하는 데 도움이 되려면 허용 목록과 조직 정책을 모두 사용하는 것이 좋습니다.

허용 및 거부 목록 구성

소비자가 목록을 허용하거나 거부하는 새 서비스 연결을 만드는 방법에 대한 자세한 내용은 명시적 프로젝트 승인으로 서비스 게시를 참조하세요.

소비자 허용 또는 거부 목록을 업데이트하는 방법에 대한 자세한 내용은 게시된 서비스에 대한 액세스 요청 관리를 참조하세요.