Private Service Connect 보안
이 페이지에서는 Private Service Connect 보안을 간략하게 설명합니다.
Private Service Connect는 Private Service Connect 리소스에 대한 액세스를 관리하기 위한 여러 컨트롤을 제공합니다. Private Service Connect 리소스를 배포할 수 있는 사용자, 소비자와 프로듀서 간에 연결을 설정할 수 있는지 여부, 해당 연결에 액세스할 수 있는 네트워크 트래픽을 제어할 수 있습니다.
이러한 컨트롤은 다음 요소를 사용하여 구현됩니다.
- Identity and Access Management(IAM) 권한은 엔드포인트, 백엔드, 서비스와 같은 Private Service Connect 리소스를 배포할 수 있는 IAM 주 구성원을 결정합니다. IAM 주 구성원은 리소스에 액세스할 수 있는 Google 계정, 서비스 계정, Google 그룹, Google Workspace 계정 또는 Cloud ID 도메인입니다.
- Private Service Connect 허용 및 거부 목록 및 조직 정책은 개별 소비자와 생산자 간에 Private Service Connect 연결을 설정할 수 있는지 여부를 결정합니다.
- VPC 방화벽 규칙은 특정 TCP 또는 UDP 트래픽이 Private Service Connect 연결에 액세스할 수 있는지 여부를 결정합니다.
그림 1은 Private Service Connect 연결의 소비자 및 프로듀서 측에서 이러한 제어가 어떻게 상호작용하는지 설명합니다.
IAM
리소스: 모두
각 Private Service Connect 리소스는 하나 이상의 IAM 권한에 의해 관리됩니다. 이 권한을 사용하면 관리자가 Private Service Connect 리소스를 배포할 수 있는 IAM 주 구성원을 시행할 수 있습니다.
IAM은 Private Service Connect 연결에 연결하거나 사용할 수 있는 IAM 주 구성원을 제어하지 않습니다. 서비스와 연결할 수 있는 엔드포인트 또는 백엔드를 제어하려면 조직 정책 또는 소비자 허용 목록을 사용하세요. Private Service Connect 리소스에 트래픽을 전송할 수 있는 클라이언트를 제어하려면 VPC 방화벽 또는 방화벽 정책을 사용하세요.
IAM 권한에 대한 자세한 내용은 IAM 권한을 참고하세요.
엔드포인트를 만드는 데 필요한 권한에 대한 자세한 내용은 엔드포인트 만들기를 참조하세요.
서비스 연결을 만드는 데 필요한 권한에 대한 자세한 내용은 명시적 승인으로 서비스 게시를 참고하세요.
연결 상태
리소스: 엔드포인트, 백엔드, 서비스 연결
Private Service Connect 엔드포인트, 백엔드, 서비스 연결에는 해당 연결 상태를 설명하는 연결 상태가 있습니다. 연결의 양측을 형성하는 소비자 및 프로듀서 리소스는 항상 상태가 동일합니다. 엔드포인트 세부정보를 보거나 백엔드를 설명하거나 게시된 서비스에 대한 세부 정보를 볼 때 연결 상태를 볼 수 있습니다.
다음 표에서는 가능한 상태를 설명합니다.
연결 상태 | 설명 |
---|---|
수락됨 | Private Service Connect 연결이 설정됩니다. 두 VPC 네트워크가 연결되어 있고 연결이 정상적으로 작동합니다. |
대기 중 | Private Service Connect 연결이 설정되지 않으며 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다.
이러한 이유로 차단된 연결은 기본 문제가 해결될 때까지 무기한 대기 중 상태로 유지됩니다. |
거부됨 | Private Service Connect 연결이 설정되지 않습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 다음과 같은 이유로 연결이 이 상태가 될 수 있습니다. |
확인 필요 또는 알 수 없는 이유 | 연결의 프로듀서 측에 문제가 있습니다. 일부 트래픽은 두 네트워크 간에 흐를 수 있지만 일부 연결은 작동하지 않을 수 있습니다. 예를 들어 프로듀서의 NAT 서브넷이 소진되어 새 연결에 IP 주소를 할당하지 못할 수 있습니다. |
비공개 | 서비스 연결이 삭제되고 Private Service Connect 연결이 종료되었습니다. 네트워크 트래픽이 두 네트워크 간에 이동할 수 없습니다. 종료된 연결은 터미널 상태입니다. 연결을 복원하려면 서비스 연결과 엔드포인트 또는 백엔드를 모두 다시 만들어야 합니다. |
서비스 연결 구성
다음 기능을 사용하여 서비스 연결에 연결할 수 있는 소비자를 제어할 수 있습니다.
연결 환경설정
리소스: 엔드포인트 및 백엔드
각 서비스 연결에는 연결 요청이 자동으로 허용되는지 여부를 지정하는 연결 환경설정이 있습니다. 메일을 처리하는 방법에는 세 가지가 있습니다.
- 모든 연결을 자동으로 허용. 서비스 연결은 모든 소비자의 모든 인바운드 연결 요청을 자동으로 허용합니다. 자동 수락은 수신 연결을 차단하는 조직 정책으로 재정의할 수 있습니다.
- 선택한 네트워크에 대한 연결 허용. 서비스 연결은 소비자 VPC 네트워크가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다.
- 선택한 프로젝트에 대한 연결 수락. 서비스 연결은 소비자 프로젝트가 서비스 연결의 소비자 허용 목록에 있는 경우에만 인바운드 연결 요청을 수락합니다.
선택한 프로젝트 또는 네트워크의 연결을 수락하는 것이 좋습니다. 다른 수단을 통해 소비자 액세스를 제어하고 서비스에 대한 권한 액세스를 사용 설정하려면 모든 연결을 자동으로 수락하는 것이 적합할 수 있습니다.
허용 및 거부 목록
리소스: 엔드포인트 및 백엔드
소비자 허용 목록 및 소비자 거부 목록은 서비스 연결의 보안 기능입니다. 허용 및 거부 목록을 사용하면 서비스 프로듀서는 서비스에 대한 Private Service Connect 연결을 설정할 수 있는 소비자를 지정할 수 있습니다. 소비자 허용 목록은 연결이 허용되는지 여부를 지정하고 소비자 거부 목록은 연결이 거부되는지 여부를 지정합니다. 두 목록 모두 연결 리소스의 VPC 네트워크 또는 프로젝트별로 소비자를 지정할 수 있습니다. 프로젝트 또는 네트워크를 허용 목록과 거부 목록에 모두 추가하면 해당 프로젝트나 네트워크의 연결 요청이 거부됩니다. 폴더별 소비자 지정은 지원되지 않습니다.
소비자 허용 목록과 소비자 거부 목록을 사용하면 프로젝트 또는 VPC 네트워크를 지정할 수 있지만 동시에 둘 다 지정할 수는 없습니다. 연결을 중단하지 않고 한 유형에서 다른 유형으로 목록을 변경할 수 있지만 업데이트 한 번으로 변경해야 합니다. 그러지 않으면 일부 연결이 일시적으로 대기 중인 상태로 변경될 수 있습니다.
소비자 목록은 엔드포인트가 게시된 서비스에 연결할 수 있는지 여부를 제어하지만 해당 엔드포인트에 요청을 보낼 수 있는 사용자는 제어하지 않습니다. 예를 들어 소비자에게 두 개의 서비스 프로젝트가 연결된 공유 VPC 네트워크가 있다고 가정해 보겠습니다. 게시된 서비스의 소비자 허용 목록에 service-project1
가 있고 소비자 거부 목록에 service-project2
가 있으면 다음이 적용됩니다.
-
service-project1
의 소비자는 게시된 서비스에 연결되는 엔드포인트를 만들 수 있습니다. -
service-project2
의 소비자는 게시된 서비스에 연결하는 엔드포인트를 만들 수 없습니다. -
service-project2
의 클라이언트는 트래픽을 차단하는 방화벽 규칙이나 정책이 없는 경우service-project1
의 엔드포인트에 요청을 보낼 수 있습니다.
소비자 허용 또는 거부 목록을 업데이트할 때 연결 조정 사용 설정 여부에 따라 기존 연결의 영향이 달라집니다. 자세한 내용은 연결 조정을 참조하세요.
소비자가 목록을 허용하거나 거부하는 새 서비스 연결을 만드는 방법에 대한 자세한 내용은 명시적 프로젝트 승인으로 서비스 게시를 참조하세요.
소비자 허용 또는 거부 목록을 업데이트하는 방법에 대한 자세한 내용은 게시된 서비스에 대한 액세스 요청 관리를 참조하세요.
연결 한도
리소스: 엔드포인트 및 백엔드
소비자 허용 목록에는 연결 한도가 있습니다. 이 한도는 서비스 연결이 지정된 소비자 프로젝트 또는 VPC 네트워크에서 허용할 수 있는 총 Private Service Connect 엔드포인트 및 백엔드 연결 수를 설정합니다.
프로듀서는 연결 한도를 사용하여 개별 소비자가 프로듀서 VPC 네트워크의 IP 주소 또는 리소스 할당량을 소진하지 못하도록 방지할 수 있습니다. 허용되는 각 Private Service Connect 연결은 소비자 프로젝트 또는 VPC 네트워크에 대해 구성된 한도에서 차감됩니다. 한도는 소비자 허용 목록을 만들거나 업데이트할 때 설정됩니다. 서비스 연결을 설명할 때 서비스 연결의 연결을 볼 수 있습니다.
전파된 연결은 이 한도에 포함되지 않습니다.
예를 들어 서비스 연결에 project-1
및 project-2
가 포함된 소비자 허용 목록이 있고 둘 다 하나의 연결로 제한된다고 가정합니다. project-1
프로젝트는 연결 2개를 요청하고 project-2
는 연결 1개를 요청하며 project-3
은 연결 1개를 요청합니다. project-1
에는 연결 한도가 1개이므로 첫 번째 연결은 허용되고 두 번째 연결은 대기 상태로 유지됩니다.
project-2
의 연결은 허용되고 project-3
의 연결은 대기 상태로 유지됩니다. project-1
의 두 번째 연결은 project-1
의 한도를 늘려 허용할 수 있습니다. project-3
가 소비자 허용 목록에 추가되면 해당 연결이 대기 중에서 허용됨으로 전환됩니다.
조직 정책
조직 정책을 사용하면 Private Service Connect를 사용하여 VPC 네트워크 또는 조직에 연결할 수 있는 프로젝트를 광범위하게 제어할 수 있습니다.
이 페이지에 설명된 조직 정책은 새 Private Service Connect 연결을 차단 또는 거부할 수 있지만 기존 연결에는 영향을 주지 않습니다.
조직 정책은 계층 구조 평가에 따라 참조하는 리소스의 하위 요소에 적용됩니다. 예를 들어 Google Cloud 조직에 대한 액세스를 제한하는 조직 정책은 조직의 하위 폴더, 프로젝트, 리소스에도 적용됩니다. 마찬가지로 조직을 허용되는 값으로 나열하면 해당 조직의 하위 요소에 대한 액세스도 허용됩니다.
조직 정책에 대한 자세한 내용은 조직 정책을 참조하세요.
소비자 측 조직 정책
목록 제약조건을 사용하여 엔드포인트와 백엔드의 배포를 제어할 수 있습니다. 엔드포인트 또는 백엔드가 소비자 조직 정책에 의해 차단되면 리소스 생성이 실패합니다.
restrictPrivateServiceConnectProducer
목록 제약조건을 사용하여 프로듀서 조직을 기준으로 엔드포인트 및 백엔드를 연결할 수 있는 서비스 연결을 제어합니다.disablePrivateServiceConnectCreationForConsumers
목록 제약조건을 사용하여 엔드포인트의 연결 유형을 기반으로 엔드포인트의 배포를 제어합니다. Google API에 연결되는 엔드포인트의 배포를 차단하거나 게시된 서비스에 연결되는 엔드포인트의 배포를 차단할 수 있습니다.
엔드포인트 또는 백엔드가 프로듀서 조직에 연결하지 못하도록 차단
리소스: 엔드포인트 및 백엔드
허용된 값과 함께 restrictPrivateServiceConnectProducer
목록 제약조건을 사용하는 조직 정책은 서비스 연결이 정책의 허용된 값 중 하나와 연결되어 있지 않으면 엔드포인트 및 백엔드가 서비스 연결에 연결하지 못하도록 차단합니다. 이 유형의 정책은 서비스 연결의 소비자 허용 목록에서 허용되더라도 연결을 차단합니다.
예를 들어 다음 조직 정책은 Org-A
라는 조직에 적용됩니다.
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectProducer
spec:
rules:
– values:
allowedValues:
- under:organizations/ORG_A_NUMBER
- under:organizations/433637338589
그림 2는 이 조직 정책의 결과를 보여줍니다. 이 정책에는 Org-A
(ORG_A_NUMBER
) 및 Google-org
(433637338589
)에 허용되는 값이 있습니다. Org-A
에서 생성된 엔드포인트와 백엔드는 Org-A
의 서비스 연결과 통신할 수 있지만 Org-B
의 서비스 연결과 통신할 수 없습니다.
다음 리소스 유형의 인스턴스에서 compute.restrictPrivateServiceConnectProducer
제약조건을 사용하여 엔드포인트를 만들 수 있습니다.
- 조직
- 폴더
- 프로젝트
compute.restrictPrivateServiceConnectProducer
제약조건을 사용하는 조직 정책을 만드는 방법에 대한 자세한 내용은 엔드포인트 및 백엔드가 승인되지 않은 서비스 연결에 연결하지 못하도록 차단을 참조하세요.
연결 유형별로 엔드포인트 생성 차단
영향을 받는 리소스: 엔드포인트
disablePrivateServiceConnectCreationForConsumers
목록 제약조건을 사용하여 Google API 또는 게시된 서비스(서비스 연결)에 연결되어 있는지 여부에 따라 엔드포인트 생성을 차단할 수 있습니다.
disablePrivateServiceConnectCreationForConsumers
제약조건을 사용하는 조직 정책을 만드는 방법에 대한 자세한 내용은 소비자가 연결 유형별로 엔드포인트를 배포하지 못하도록 차단을 참조하세요.
프로듀서 측 조직 정책
영향을 받는 리소스: 엔드포인트 및 백엔드
compute.restrictPrivateServiceConnectConsumer
목록 제약조건과 함께 조직 정책을 사용하여 프로듀서 조직 또는 프로젝트 내의 Private Service Connect 서비스 연결에 연결할 수 있는 엔드포인트 및 백엔드를 제어할 수 있습니다. 엔드포인트 또는 백엔드가 프로듀서 조직 정책에 의해 거부되면 리소스 생성은 성공하지만 연결이 거부된 상태로 전환됩니다.
이 방법으로 액세스 제어는 허용 및 거부 목록을 사용하는 것과 비슷하지만 조직 정책이 개별 서비스 연결이 아닌 프로젝트 또는 조직의 모든 서비스 연결에 적용된다는 점이 다릅니다.
관리형 서비스에 대한 액세스를 광범위하게 적용하는 조직 정책과 개별 서비스 연결에 대한 액세스를 제어하는 허용 목록을 사용하여 조직 정책과 허용 목록을 함께 사용할 수 있습니다.
compute.restrictPrivateServiceConnectConsumer
제약조건을 사용하는 조직 정책은 엔드포인트 또는 백엔드가 정책의 허용된 값 중 하나와 연결되어 있지 않으면 엔드포인트 및 백엔드의 연결을 거부합니다. 이 유형의 정책은 허용 목록에서 허용되더라도 연결을 거부합니다.
예를 들어 다음 조직 정책은 Org-A라는 조직에 적용됩니다.
name: organizations/Org-A/policies/compute.restrictPrivateServiceConnectConsumer
spec:
rules:
- values:
allowedValues:
- under:organizations/ORG_A_NUMBER
그림 3은 이 조직 정책의 결과를 보여줍니다. 정책에는 Org-A
에 대해 허용된 값이 있습니다(ORG_A_NUMBER
). Org-A
의 다른 VPC 네트워크에 있는 엔드포인트는 Org-A
의 서비스 연결에 연결할 수 있습니다. Org-B
에서 연결을 시도하는 엔드포인트가 거부됩니다.
조직 정책은 계층 구조 평가에 따라 참조하는 리소스의 하위 요소에 적용됩니다. 예를 들어 Google Cloud 조직에 대한 액세스를 제한하는 조직 정책은 조직의 하위 폴더, 프로젝트, 리소스에도 적용됩니다. 마찬가지로 조직을 허용되는 값으로 나열하면 해당 조직의 하위 요소에 대한 액세스도 허용됩니다.
다음 리소스 유형의 인스턴스에서 restrictPrivateServiceConnectConsumer
제약조건을 사용하여 엔드포인트를 만들 수 있습니다.
- 조직
- 폴더
- 프로젝트
서비스 프로듀서와 함께 조직 정책을 사용하는 방법에 대한 자세한 내용은 프로듀서 조직 정책을 참조하세요.
소비자 수락 목록과 조직 정책 간의 상호작용
소비자 허용 목록과 조직 정책 모두 두 Private Service Connect 리소스 간에 연결을 설정할 수 있는지 여부를 제어합니다. 허용 목록 또는 조직 정책이 연결을 거부하면 연결이 차단됩니다.
예를 들어 restrictPrivateServiceConnectConsumer
제약조건이 있는 정책은 프로듀서 조직 외부의 연결을 차단할 수 있습니다. 서비스 연결이 모든 연결을 자동으로 수락하도록 구성되어 있더라도 조직 정책은 프로듀서 조직 외부의 연결을 계속 차단합니다. 계층화된 보안을 제공하는 데 도움이 되려면 허용 목록과 조직 정책을 모두 사용하는 것이 좋습니다.
방화벽
리소스: 모두
VPC 방화벽 규칙 및 방화벽 정책을 사용하여 Private Service Connect 리소스에 대한 네트워크 수준의 액세스를 제어할 수 있습니다.
일반적인 VPC 방화벽 규칙에 대한 자세한 내용은 VPC 방화벽 규칙을 참고하세요.
VPC 방화벽 규칙을 사용하여 소비자 VPC 네트워크의 엔드포인트 또는 백엔드에 대한 액세스를 제한하는 방법에 대한 자세한 내용은 방화벽 규칙을 사용하여 엔드포인트 또는 백엔드에 대한 액세스 제한을 참조하세요.