영향 수준 5(IL5)의 데이터 경계
이 페이지에서는 Assured Workloads의 IL5 워크로드용 데이터 경계에 적용되는 제어 세트를 설명합니다. 데이터 상주, 지원되는 Google Cloud 제품 및 해당 API 엔드포인트, 해당 제품에 적용되는 제한사항 또는 제한에 관한 세부정보를 제공합니다. IL5의 데이터 경계에는 다음 추가 정보가 적용됩니다.
- 데이터 상주: IL5 제어 패키지의 데이터 경계는 미국 전용 리전을 지원하도록 데이터 위치 제어를 설정합니다. 자세한 내용은 Google Cloud전체 조직 정책 제약 조건 섹션을 참고하세요.
- 지원: IL5 워크로드용 데이터 경계에 대한 기술 지원 서비스는 고급 또는 프리미엄 Cloud Customer Care 구독을 통해 제공됩니다. IL5 워크로드 지원 케이스의 데이터 경계는 미국 내 미국인에게 라우팅됩니다. 자세한 내용은 지원 받기를 참고하세요.
- 가격 책정: IL5 제어 패키지의 데이터 경계는 Assured Workloads의 프리미엄 등급에 포함되어 있으며, 이 경우 20%의 추가 요금이 부과됩니다. 자세한 내용은 Assured Workloads 가격을 참고하세요.
기본 요건
IL5용 데이터 경계 제어 패키지 사용자로서 규정을 준수하려면 다음 기본 요건을 충족 및 준수해야 합니다.
- Assured Workloads를 사용하여 IL5 폴더용 데이터 경계를 만들고 이 폴더에만 IL5 워크로드를 배포합니다.
- IL5 워크로드의 데이터 경계에 범위 내 서비스만 사용 설정하고 사용합니다.
- 데이터 상주 위험이 발생할 수 있음을 이해하고 수락하려는 경우가 아니라면 기본 조직 정책 제약조건 값을 변경하지 마세요.
- IL5 폴더의 데이터 경계에서 사용되는 모든 서비스에 대해 다음 사용자 정의 또는 보안 구성 정보 유형에 기술 데이터를 저장하지 마세요.
- 오류 메시지
- 콘솔 출력
- 속성 데이터
- 서비스 구성 데이터
- 네트워크 패킷 헤더
- 리소스 식별자
- 데이터 라벨
- Google Cloud 보안 권장사항 센터에서 제공되는 일반적인 보안 권장사항 채택을 고려하세요.
- Google Cloud에 IL5 워크로드를 배포하는 방법에 관한 자세한 내용은 미 국방부 (DoD) 잠정 승인 페이지를 참고하세요.
- Google Cloud 콘솔에 액세스할 때 관할권 Google Cloud 콘솔을 사용할 수 있습니다.
IL5의 데이터 경계에는 관할권 Google Cloud 콘솔을 사용하지 않아도 됩니다. 다음 URL 중 하나에서 액세스할 수 있습니다.
- console.us.cloud.google.com
- 제휴 ID 사용자를 위한 console.us.cloud.google
지원되는 제품 및 API 엔드포인트
달리 명시되지 않는 한 사용자는 Google Cloud 콘솔을 통해 지원되는 모든 제품에 액세스할 수 있습니다. 조직 정책 제약 조건 설정을 통해 적용되는 사항을 포함하여 지원되는 제품의 기능에 영향을 미치는 제한사항은 다음 표에 나열되어 있습니다.
제품이 나열되지 않은 경우 해당 제품은 지원되지 않으며 IL5의 데이터 경계에 대한 제어 요구사항을 충족하지 않은 것입니다. 지원되지 않는 제품은 실사 및 공동 책임 모델에 따른 책임에 대한 철저한 이해 없이 사용하지 않는 것이 좋습니다. 지원되지 않는 제품을 사용하기 전에 데이터 상주 또는 데이터 주권에 미치는 부정적인 영향과 같은 관련 위험을 알고 있으며 이를 수용할 의향이 있는지 확인하세요. 또한 위험을 수락하기 전에 승인 기관과 지원되지 않는 제품의 사용을 검토하세요.
| 지원되는 제품 | API 엔드포인트 | 제한 또는 한도 |
|---|---|---|
| Artifact Registry |
artifactregistry.googleapis.com |
없음 |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigquerymigration.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Certificate Authority Service |
privateca.googleapis.com |
없음 |
| Cloud Build |
cloudbuild.googleapis.com |
없음 |
| Cloud Composer |
composer.googleapis.com |
없음 |
| Cloud DNS |
dns.googleapis.com |
없음 |
| Cloud Data Fusion |
datafusion.googleapis.com |
없음 |
| Cloud 외부 키 관리자(Cloud EKM) |
cloudkms.googleapis.com |
없음 |
| Cloud HSM |
cloudkms.googleapis.com |
없음 |
| Cloud ID |
cloudidentity.googleapis.com |
없음 |
| Cloud Interconnect |
compute.googleapis.com |
없음 |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
조직 정책 제약조건 |
| Cloud Logging |
logging.googleapis.com |
없음 |
| Cloud Monitoring |
monitoring.googleapis.com |
없음 |
| Cloud NAT |
compute.googleapis.com |
없음 |
| Cloud Router |
compute.googleapis.com |
없음 |
| Cloud Run |
run.googleapis.com |
영향을 받는 기능 |
| Cloud SQL |
sqladmin.googleapis.com |
없음 |
| Cloud Storage |
storage.googleapis.com |
없음 |
| Cloud Tasks |
cloudtasks.googleapis.com |
없음 |
| Cloud VPN |
compute.googleapis.com |
없음 |
| Cloud Vision API |
us-vision.googleapis.com |
영향을 받는 기능 |
| Cloud Workstations |
workstations.googleapis.com |
영향을 받는 기능 |
| Compute Engine |
compute.googleapis.com |
영향을 받는 기능 및 조직 정책 제약조건 |
| Connect 에이전트 |
gkeconnect.googleapis.com |
없음 |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
없음 |
| Dataproc |
dataproc.googleapis.comdataproc-control.googleapis.com |
없음 |
| Eventarc |
eventarc.googleapis.com |
없음 |
| 외부 패스 스루 네트워크 부하 분산기 |
compute.googleapis.com |
없음 |
| GKE 허브 |
gkehub.googleapis.com |
없음 |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
없음 |
| Vertex AI의 생성형 AI |
aiplatform.googleapis.com |
없음 |
| Gemini Enterprise |
discoveryengine.googleapis.com |
없음 |
| Google Kubernetes Engine(GKE) |
container.googleapis.comcontainersecurity.googleapis.com |
없음 |
| Google 관리 콘솔 |
N/A |
없음 |
| Identity and Access Management(IAM) |
iam.googleapis.com |
조직 정책 제약조건 |
| IAP(Identity-Aware Proxy) |
iap.googleapis.com |
없음 |
| 내부 패스 스루 네트워크 부하 분산기 |
compute.googleapis.com |
없음 |
| Memorystore for Redis |
redis.googleapis.com |
없음 |
| Persistent Disk |
compute.googleapis.com |
없음 |
| Pub/Sub |
pubsub.googleapis.com |
조직 정책 제약조건 |
| 리전 외부 애플리케이션 부하 분산기 |
compute.googleapis.com |
없음 |
| 리전 외부 프록시 네트워크 부하 분산기 |
compute.googleapis.com |
없음 |
| 리전별 내부 애플리케이션 부하 분산기 |
compute.googleapis.com |
없음 |
| 리전 내부 프록시 네트워크 부하 분산기 |
compute.googleapis.com |
없음 |
| Secret Manager |
secretmanager.googleapis.com |
없음 |
| Sensitive Data Protection |
dlp.googleapis.com |
없음 |
| Spanner |
spanner.googleapis.com |
없음 |
| Speech-to-Text |
speech.googleapis.com |
영향을 받는 기능 |
| VPC 서비스 제어 |
accesscontextmanager.googleapis.com |
없음 |
| Vertex AI 일괄 예측 |
aiplatform.googleapis.com |
없음 |
| Vertex AI Model Monitoring |
aiplatform.googleapis.com |
없음 |
| Vertex AI Model Registry |
aiplatform.googleapis.com |
없음 |
| Vertex AI 온라인 예측 |
aiplatform.googleapis.com |
없음 |
| Vertex AI Pipelines |
aiplatform.googleapis.com |
없음 |
| Vertex AI Search |
discoveryengine.googleapis.com |
없음 |
| Vertex AI Training |
aiplatform.googleapis.com |
없음 |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
없음 |
제한 및 한도
다음 섹션에서는 Google Cloud-wide 또는 제품 특정의 기능 제한 또는 한도에 대해 설명합니다. 여기에는 IL5 폴더의 데이터 경계에 기본적으로 설정된 모든 조직 정책 제약 조건이 포함됩니다. 적용 가능한 다른 조직 정책 제약조건은 기본적으로 설정되어 있지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 심층 방어 기능을 추가로 제공할 수 있습니다.
Google Cloud너비
영향을 받는 Google Cloud-wide 기능
| 기능 | 설명 |
|---|---|
| Google Cloud 콘솔 | IL5 제어 패키지의 데이터 경계를 사용할 때 Google Cloud 콘솔에 액세스하려면 관할권 Google Cloud 콘솔을 사용하면 됩니다.
관할권 Google Cloud 콘솔은 IL5의 데이터 경계에 필요하지 않으며 다음 URL 중 하나를 사용하여 액세스할 수 있습니다.
|
Google Cloud전체 조직 정책 제약 조건
다음 조직 정책 제약 조건은 Google Cloud에 적용됩니다.
| 조직 정책 제약조건 | 설명 |
|---|---|
gcp.resourceLocations |
allowedValues 목록의 다음 위치로 설정합니다.
이 값을 덜 제한적인 값으로 변경하면 데이터가 규정을 준수하는 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다. |
gcp.restrictCmekCryptoKeyProjects |
Assured Workloads 조직인 under:organizations/your-organization-name로 설정합니다. 프로젝트 또는 폴더를 지정하여 이 값을 추가로 제한할 수 있습니다.CMEK를 사용하여 저장 데이터를 암호화하기 위해 Cloud KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다. 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 범위 내 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다. |
gcp.restrictNonCmekServices |
다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다.
나열된 각 서비스에는 고객 관리 암호화 키 (CMEK)가 필요합니다. CMEK는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 저장 데이터를 암호화합니다. 목록에서 범위 내 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다. |
gcp.restrictServiceUsage |
모든 지원되는 제품 및 API 엔드포인트를 허용하도록 설정합니다. 런타임 액세스를 리소스로 제한하여 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 리소스 사용량 제한을 참고하세요. |
gcp.restrictTLSVersion |
다음 TLS 버전을 거부하도록 설정합니다.
|
BigQuery
영향을 받는 BigQuery 기능
| 기능 | 설명 |
|---|---|
| 새 폴더에서 BigQuery 사용 설정 | BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다.
사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다. BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다. |
| 호환되는 BigQuery API | 다음 BigQuery API는 IL5와 호환됩니다. |
| 리전 | BigQuery는 미국 멀티 리전을 제외한 모든 BigQuery 미국 리전에 대해 IL5를 준수합니다. 미국 멀티 리전, 미국 외 리전 또는 미국 외 멀티 리전에서 데이터 세트를 만들 때는 IL5 규정 준수를 보장할 수 없습니다. BigQuery 데이터 세트를 만들 때 IL5 규정을 준수하는 리전을 지정하는 것은 사용자의 책임입니다. |
| 비 IL5 프로젝트에서 IL5 데이터 세트 쿼리 | BigQuery는 비 IL5 프로젝트에서 IL5 데이터 세트가 쿼리되는 것을 방지하지 않습니다. IL5 기술 데이터에 대한 읽기 또는 조인 작업을 사용하는 모든 쿼리가 IL5 준수 폴더에 있는지 확인합니다. |
| 외부 데이터 소스에 연결 | Google의 규정 준수 책임은 BigQuery Connection API 기능으로 제한됩니다. BigQuery Connection API와 함께 사용되는 소스 제품의 규정 준수 여부를 확인하는 것은 사용자의 책임입니다. |
| 지원되지 않는 기능 | 다음 BigQuery 기능은 지원되지 않으며 BigQuery CLI에서 사용해서는 안 됩니다. Assured Workloads의 경우 BigQuery에서 해당 기능을 사용하지 않아야 합니다.
|
| BigQuery CLI | BigQuery CLI가 지원됩니다.
|
| Google Cloud SDK | 기술 데이터에 대한 데이터 리전화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 gcloud --version을 실행한 다음 gcloud components update을 실행하여 최신 버전으로 업데이트합니다.
|
| 관리자 제어 기능 | BigQuery는 지원되지 않는 API를 사용 중지하지만 Assured Workloads 폴더를 만들 수 있는 충분한 권한이 있는 관리자는 지원되지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 잠재적인 규정 미준수 알림이 표시됩니다. |
| 데이터 로드 | Google Software as a Service (SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 지원되지 않습니다. IL5 워크로드의 데이터 경계에 BigQuery Data Transfer Service 커넥터를 사용하지 않는 것은 사용자의 책임입니다. |
| 타사 전송 | BigQuery는 BigQuery Data Transfer Service의 서드 파티 전송 지원을 확인하지 않습니다. BigQuery Data Transfer Service의 타사 전송을 사용할 때는 지원되는지 확인해야 합니다. |
| 규정 미준수 BQML 모델 | 외부에서 학습된 BQML 모델은 지원되지 않습니다. |
| 쿼리 작업 | 쿼리 작업은 Assured Workloads 폴더 내에서만 만들어야 합니다. |
| 다른 프로젝트의 데이터 세트 쿼리 | BigQuery는 Assured Workloads 데이터 세트가 비 Assured Workloads 프로젝트에서 쿼리되는 것을 방지하지 않습니다. Assured Workloads 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리는 Assured Workloads 폴더에 배치되어야 합니다. BigQuery CLI에서 projectname.dataset.table을 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다.
|
| Cloud Logging | BigQuery는 일부 로그 데이터에 대해 Cloud Logging을 활용합니다. _default 로깅 버킷을 사용 중지하거나 다음 명령어를 사용하여 _default 버킷을 범위 내 리전으로 제한하여 규정 준수를 유지해야 합니다.gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink
자세한 내용은 로그 리전화를 참고하세요. |
Cloud Interconnect
영향을 받는 Cloud Interconnect 기능
| 기능 | 설명 |
|---|---|
| 고가용성(HA) VPN | Cloud VPN에서 Cloud Interconnect를 사용할 때 고가용성 (HA) VPN 기능을 사용 설정해야 합니다. 또한 영향을 받는 Cloud VPN 기능 섹션에 나열된 암호화 및 리전화 요구사항을 준수해야 합니다. |
Cloud KMS
Cloud KMS 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
cloudkms.allowedProtectionLevels |
다음 보호 수준으로 Cloud Key Management Service CryptoKey 생성을 허용하도록 설정됩니다.
|
Cloud Logging
영향을 받는 Cloud Logging 기능
| 기능 | 설명 |
|---|---|
| 로그 싱크 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
| 로그 항목 실시간 테일링 | 필터에는 고객 데이터가 포함되지 않아야 합니다. 실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지는 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요. |
Cloud Monitoring
영향을 받는 Cloud Monitoring 기능
| 기능 | 설명 |
|---|---|
| 합성 모니터 | 이 기능은 사용 중지되었습니다. |
| 업타임 체크 | 이 기능은 사용 중지되었습니다. |
Cloud Run
영향을 받는 Cloud Run 기능
| 기능 | 설명 |
|---|---|
| 지원되지 않는 기능 | 다음 Cloud Run 기능은 지원되지 않습니다. |
Cloud Vision API
영향을 받는 Cloud Vision API 기능
| 기능 | 설명 |
|---|---|
| IL5 규격 Cloud Vision API 엔드포인트 | Cloud Vision API에는 미국 지역 API 엔드포인트(us-vision.googleapis.com)만 사용해야 합니다. 전역 엔드포인트(vision.googleapis.com)는 IL5를 준수하지 않으며 이를 사용하면 워크로드의 데이터 상주가 저해될 수 있습니다.
|
Cloud VPN
영향을 받는 Cloud VPN 기능
| 기능 | 설명 |
|---|---|
| VPN 엔드포인트 | 범위 내 리전에 있는 Cloud VPN 엔드포인트만 사용해야 합니다. VPN 게이트웨이가 범위 내 리전에서만 사용되도록 구성되었는지 확인합니다. |
Cloud Workstations
영향을 받는 Cloud Workstations 기능
| 기능 | 설명 |
|---|---|
| 워크스테이션 클러스터 만들기 | 워크스테이션 클러스터를 만들 때는 데이터 상주를 보장하기 위해 다음과 같이 구성해야 합니다.
|
Compute Engine
영향을 받는 Compute Engine 기능
| 기능 | 설명 |
|---|---|
| VM 인스턴스 정지 및 재개 | 이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
|
| 로컬 SSD | 이 기능은 사용 중지되었습니다. 로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
|
| 인스턴스 그룹을 전역 부하 분산기에 추가 | 인스턴스 그룹을 전역 부하 분산기에 추가할 수 없습니다. 이 기능은 compute.disableGlobalLoadBalancing 조직 정책 제약조건에 의해 사용 중지됩니다.
|
| VM 인스턴스 정지 및 재개 | 이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 CMEK를 사용하여 암호화할 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
|
| 로컬 SSD | 이 기능은 사용 중지되었습니다. 로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
|
| 게스트 환경 | 게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참고하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.
자세한 내용은 커스텀 이미지 빌드를 참고하세요. |
| VM Manager의 OS 정책 |
OS 정책 파일 내의 인라인 스크립트와 바이너리 출력 파일은 고객 관리 암호화 키 (CMEK)를 사용하여 암호화되지 않습니다. 이러한 파일에 민감한 정보를 포함하지 마세요. 이러한 스크립트와 출력 파일을 Cloud Storage 버킷에 저장하는 것이 좋습니다. 자세한 내용은 OS 정책 예시를 참고하세요. 인라인 스크립트 또는 바이너리 출력 파일을 사용하는 OS 정책 리소스의 생성 또는 수정을 제한하려면 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 조직 정책 제약 조건을 사용 설정하세요.자세한 내용은 OS 구성 제약 조건을 참고하세요. |
instances.getSerialPortOutput()
|
이 API는 사용 중지되어 있습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약 조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
instances.getScreenshot() |
이 API는 사용 중지되어 있습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약 조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
|
Compute Engine 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
True로 설정합니다. 새 전역 Google Cloud Armor 보안 정책의 생성과 기존 전역 Google Cloud Armor 보안 정책에 규칙을 추가하거나 수정하는 것을 사용 중지합니다. 이 제약 조건은 규칙의 삭제 또는 전역 Google Cloud Armor 보안 정책의 설명 및 목록을 삭제하거나 변경하는 기능을 제한하지 않습니다. 리전 Google Cloud Armor 보안 정책은 이 제약 조건의 영향을 받지 않습니다. 이 제약 조건이 적용되기 전에 이미 있던 모든 전역 및 리전 보안 정책은 계속 유효합니다. |
compute.disableGlobalLoadBalancing |
True로 설정합니다. 전역 부하 분산 제품 만들기를 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
compute.disableInstanceDataAccessApis
| True로 설정합니다.instances.getSerialPortOutput() 및 instances.getScreenshot() API를 전역적으로 사용 중지합니다.이 제약조건을 사용 설정하면 Windows Server VM에서 사용자 인증 정보를 생성할 수 없습니다. Windows VM에서 사용자 이름과 비밀번호를 관리해야 하는 경우 다음을 수행합니다.
|
compute.setNewProjectDefaultToZonalDNSOnly
| True로 설정합니다. 새 프로젝트의 DNS 설정을 영역 DNS 전용으로 설정합니다. 영역 DNS는 리전 간 서비스 중단의 위험을 완화하고 Compute Engine에서 프로젝트의 전반적인 신뢰성을 개선합니다. |
compute.skipDefaultNetworkCreation
| True로 설정합니다. 새 프로젝트가 생성될 때 기본 네트워크 및 지원 리소스의 생성을 사용 중지합니다. |
compute.restrictNonConfidentialComputing |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참고하세요. |
compute.trustedImageProjects |
(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다.
이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다. |
IAM
IAM 조직 정책 제약 조건
| 조직 정책 제약조건 | 설명 |
|---|---|
iam.automaticIamGrantsForDefaultServiceAccounts |
True로 설정합니다. 기본 서비스 계정에 편집자( roles/editor) 기존 기본 역할이 자동으로 부여되는 것을 사용 중지합니다.이 제약 조건은 기본 서비스 계정에 향후 기존 기본 역할이 부여되는 것을 방지하지 않습니다. 이 동작을 방지하려면 Assured Workloads 폴더에 iam.managed.preventPrivilegedBasicRolesForDefaultServiceAccounts 제약 조건을 설정하면 됩니다.
|
iam.disableServiceAccountKeyCreation |
True로 설정합니다. 새 서비스 계정 키 및 Cloud Storage HMAC 키의 생성을 사용 중지합니다. 워크로드에 서비스 계정 키가 필요한 경우 이 제약 조건의 값을 변경하기 전에 서비스 계정 키 관리 권장사항 페이지를 읽었는지 확인하세요. |
Pub/Sub
Pub/Sub 조직 정책 제약조건
| 조직 정책 제약조건 | 설명 |
|---|---|
pubsub.managed.disableTopicMessageTransforms |
True로 설정합니다. Pub/Sub 주제가 단일 메시지 변환 (SMT)으로 설정되지 않도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
pubsub.managed.disableSubscriptionMessageTransforms |
True로 설정합니다. Pub/Sub 구독이 단일 메시지 변환 (SMT)으로 설정되지 않도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
pubsub.managed.disableTopicMessageTransforms |
True로 설정합니다. Pub/Sub 주제가 단일 메시지 변환 (SMT)으로 설정되지 않도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다. |
Speech-to-Text
영향을 받는 Speech-to-Text 기능
| 기능 | 설명 |
|---|---|
| 맞춤 음성 텍스트 변환 모델 | 맞춤 Speech-to-Text 모델은 IL5의 데이터 경계를 준수하지 않으므로 맞춤 Speech-to-Text 모델을 사용하지 않는 것은 사용자의 책임입니다. |
다음 단계
- Assured Workloads 폴더를 만드는 방법 알아보기
- Assured Workloads 가격 책정 이해하기