액세스 근거가 있는 사우디아라비아 왕국 (KSA) 데이터 경계

이 페이지에서는 Assured Workloads의 액세스 근거 워크로드와 함께 KSA 데이터 경계에 적용되는 제어 세트를 설명합니다. 데이터 상주, 지원되는 Google Cloud 제품 및 해당 API 엔드포인트, 해당 제품에 적용되는 제한사항에 관한 세부정보를 제공합니다.

액세스 근거가 있는 KSA 데이터 경계에는 다음과 같은 추가 정보가 적용됩니다.

• 데이터 상주: 액세스 근거가 포함된 KSA 데이터 경계 제어 패키지는 KSA 전용 리전을 지원하도록 데이터 위치 제어를 설정합니다. 자세한 내용은 Google Cloud전체 조직 정책 제약조건 섹션을 참고하세요.
• 지원: 액세스 근거 워크로드와 함께 KSA 데이터 경계에 대한 기술 지원 서비스는 스탠더드, 향상된 또는 프리미엄 Cloud Customer Care 구독을 통해 제공됩니다. 액세스 근거가 있는 KSA 데이터 경계 워크로드 지원 케이스는 글로벌 지원 담당자에게 라우팅됩니다. 자세한 내용은 지원 받기를 참고하세요.
• 가격: 액세스 근거가 포함된 KSA 데이터 경계 제어 패키지는 Assured Workloads의 무료 등급에 포함되어 있으며 추가 요금이 발생하지 않습니다. 자세한 내용은 Assured Workloads 가격을 참고하세요.

기본 요건

액세스 근거를 사용하여 KSA 데이터 경계에 워크로드를 배포하기 전에 다음 기본 요건을 충족하고 완료했는지 확인하세요.

• Assured Workloads를 사용하여 액세스 근거가 있는 KSA 데이터 경계 폴더를 만들고 이 폴더에만 워크로드를 배포합니다.
• 데이터 상주 위험이 발생할 수 있음을 이해하고 수락하려는 경우가 아니라면 기본 조직 정책 제약조건 값을 변경하지 마세요.
• 액세스 근거 워크로드와 함께 KSA 데이터 경계용 Google Cloud 콘솔에 액세스할 때는 다음 KSA 전용 관할권 Google Cloud 콘솔 URL 중 하나를 사용해야 합니다.
  • console.sa.cloud.google.com
  • 제휴 ID 사용자를 위한 console.sa.cloud.google
• 제공하는 서비스에 대해 지정된 리전 엔드포인트만 사용합니다. 자세한 내용은 액세스 근거 서비스가 포함된 범위 내 KSA 데이터 경계를 참고하세요.
• Google Cloud 보안 권장사항 센터에서 제공되는 일반적인 보안 권장사항 채택을 고려하세요.

지원되는 제품 및 API 엔드포인트

달리 명시되지 않는 한 사용자는 Google Cloud 콘솔을 통해 지원되는 모든 제품에 액세스할 수 있습니다. 조직 정책 제약 조건 설정을 통해 적용되는 사항을 포함하여 지원되는 제품의 기능에 영향을 미치는 제한사항은 다음 표에 나열되어 있습니다.

제품이 나열되지 않은 경우 해당 제품은 지원되지 않으며 액세스 근거가 있는 KSA 데이터 경계의 제어 요구사항을 충족하지 않은 것입니다. 지원되지 않는 제품은 실사를 거치고 공유 책임 모델에서 자신의 책임을 철저히 이해하지 않고는 사용하지 않는 것이 좋습니다. 지원되지 않는 제품을 사용하기 전에 데이터 레지던시 또는 데이터 주권에 미치는 부정적인 영향과 같은 관련 위험을 알고 있으며 이를 수용할 수 있는지 확인하세요.

제한 및 한도

다음 섹션에서는 Google Cloud전체 또는 제품별 기능 제한 또는 한도에 대해 설명합니다. 여기에는 액세스 근거 폴더가 있는 KSA 데이터 경계에 기본적으로 설정된 조직 정책 제약 조건이 포함됩니다. 적용 가능한 다른 조직 정책 제약조건은 기본적으로 설정되어 있지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 심층 방어 기능을 추가로 제공할 수 있습니다.

Google Cloud와이드

영향을 받는 Google Cloud-wide 기능

기능	설명
Google Cloud 콘솔	액세스 근거가 포함된 KSA 데이터 경계 제어 패키지를 사용할 때 Google Cloud 콘솔에 액세스하려면 다음 URL 중 하나를 사용해야 합니다. console.me.cloud.google.com 제휴 ID 사용자를 위한 console.me.cloud.google 자세한 내용은 관할권 Google Cloud 콘솔 페이지를 참고하세요.

Google Cloud전체 조직 정책 제약조건

다음 조직 정책 제약 조건은 Google Cloud에 적용됩니다.

조직 정책 제약조건	설명
gcp.resourceLocations	allowedValues 목록의 다음 위치로 설정합니다. me-central2 이 값은 새 리소스 생성을 선택한 값으로 제한합니다. 설정하면 선택 위치 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 일부 리소스는 범위에 속하지 않아 제한할 수 없으므로 리소스 위치 조직 정책 제약조건으로 제한할 수 있는 리소스 목록은 리소스 위치 지원 서비스를 참고하세요. 이 값을 덜 제한적인 값으로 변경하면 데이터가 규정을 준수하는 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다.
gcp.restrictNonCmekServices	다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다. bigquerydatatransfer.googleapis.com 위에 나열된 각 서비스의 기능 중 일부가 영향을 받을 수 있습니다. 나열된 각 서비스에는 고객 관리 암호화 키 (CMEK)가 필요합니다. CMEK를 사용하면 저장 데이터는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 암호화됩니다. 목록에서 범위 내 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다.
gcp.restrictServiceUsage	모든 지원되는 제품 및 API 엔드포인트를 허용하도록 설정합니다. 런타임 액세스를 리소스로 제한하여 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 리소스 사용량 제한을 참고하세요.
gcp.restrictTLSVersion	다음 TLS 버전을 거부하도록 설정합니다. TLS_1_0 TLS_1_1 자세한 내용은 TLS 버전 제한을 참고하세요.

Bigtable

영향을 받는 Bigtable 기능

기능	설명
Data Boost	이 기능은 사용 중지되었습니다.

Cloud Interconnect

영향을 받는 Cloud Interconnect 기능

기능	설명
고가용성(HA) VPN	Cloud VPN에서 Cloud Interconnect를 사용할 때 고가용성 (HA) VPN 기능을 사용 설정해야 합니다. 또한 영향을 받는 Cloud VPN 기능 섹션에 나열된 암호화 및 리전화 요구사항을 준수해야 합니다.

Cloud Monitoring

영향을 받는 Cloud Monitoring 기능

기능	설명
합성 모니터	이 기능은 사용 중지되었습니다.
업타임 체크	이 기능은 사용 중지되었습니다.
대시보드의 로그 패널 위젯	이 기능은 사용 중지되었습니다. 대시보드에 로그 패널을 추가할 수 없습니다.
대시보드의 오류 보고 패널 위젯	이 기능은 사용 중지되었습니다. 대시보드에 오류 보고 패널을 추가할 수 없습니다.
대시보드의 EventAnnotation 필터	이 기능은 사용 중지되었습니다. EventAnnotation 필터는 대시보드에서 설정할 수 없습니다.
alertPolicies의 SqlCondition	이 기능은 사용 중지되었습니다. alertPolicy에 SqlCondition을(를) 추가할 수 없습니다.

Cloud Run

영향을 받는 Cloud Run 기능

기능	설명
지원되지 않는 기능	다음 Cloud Run 기능은 지원되지 않습니다. Cloud Trace 통합 Cloud Run Functions Eventarc 트리거

Cloud SQL

Cloud SQL 조직 정책 제약조건

조직 정책 제약조건	설명
sql.restrictNoncompliantDiagnosticDataAccess	True로 설정합니다. 추가 데이터 주권 및 지원 제어를 Cloud SQL 리소스에 적용합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
sql.restrictNoncompliantResourceCreation	True로 설정합니다. 규정을 준수하지 않는 Cloud SQL 리소스의 생성을 방지하기 위해 추가 데이터 주권 제어를 적용합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.

Cloud Storage

영향을 받는 Cloud Storage 기능

기능	설명
Google Cloud 콘솔	액세스 근거가 있는 KSA 데이터 경계에 관할권 Google Cloud 콘솔을 사용할 책임은 사용자에게 있습니다. 관할권 콘솔은 Cloud Storage 객체 업로드 및 다운로드를 방지합니다. Cloud Storage 객체를 업로드 및 다운로드하려면 다음 규정 준수 API 엔드포인트 행을 참고하세요.
호환되는 API 엔드포인트	Cloud Storage에서 범위 내 리전 엔드포인트 중 하나를 사용하는 것은 사용자 책임입니다. 자세한 내용은 Cloud Storage 위치를 참고하세요.

Cloud Storage 조직 정책 제약조건

조직 정책 제약조건	설명
storage.restrictAuthTypes	해시 기반 메시지 인증 코드 (HMAC)를 사용한 인증을 방지하도록 설정합니다. 이 제약 조건 값에는 다음 유형이 지정됩니다. USER_ACCOUNT_HMAC_SIGNED_REQUESTS SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS 기본적으로 HMAC 키는 액세스 근거 워크로드와 함께 KSA 데이터 경계에 대해 Cloud Storage 리소스를 인증할 수 없습니다. HMAC 키는 고객이 알지 못하는 상태에서 고객 데이터에 액세스하는 데 사용될 수 있으므로 데이터 주권에 영향을 미칩니다. Cloud Storage 문서의 HMAC 키를 참고하세요. 이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.
storage.uniformBucketLevelAccess	True로 설정합니다. 새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록 (ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약 조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다. 이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다.

Cloud VPN

영향을 받는 Cloud VPN 기능

기능	설명
Google Cloud 콘솔	Google Cloud 콘솔에서는 Cloud VPN 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용합니다.
VPN 엔드포인트	범위 내 리전에 있는 Cloud VPN 엔드포인트만 사용해야 합니다. VPN 게이트웨이가 범위 내 리전에서만 사용되도록 구성되었는지 확인합니다.

Compute Engine

영향을 받는 Compute Engine 기능

기능	설명
VM 인스턴스 정지 및 재개	이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
로컬 SSD	이 기능은 사용 중지되었습니다. 로컬 SSD는 현재 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 gcp.restrictNonCmekServices 조직 정책 제약조건을 참고하세요.
Google Cloud 콘솔	Google Cloud 콘솔에서는 다음 Compute Engine 기능을 사용할 수 없습니다. 대신 API 또는 Google Cloud CLI를 사용하세요. 상태 확인 네트워크 엔드포인트 그룹
인스턴스 그룹을 전역 부하 분산기에 추가	인스턴스 그룹을 전역 부하 분산기에 추가할 수 없습니다. 이 기능은 compute.disableGlobalLoadBalancing 조직 정책 제약 조건에 의해 사용 중지됩니다.
VM 인스턴스 정지 및 재개	이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 CMEK를 사용하여 암호화할 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
로컬 SSD	이 기능은 사용 중지되었습니다. 로컬 SSD는 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능은 gcp.restrictNonCmekServices 조직 정책 제약조건에 의해 사용 중지됩니다.
게스트 환경	게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참고하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다. 자세한 내용은 커스텀 이미지 빌드 페이지를 참고하세요.
VM Manager의 OS 정책	OS 정책 파일 내의 인라인 스크립트와 바이너리 출력 파일은 고객 관리 암호화 키 (CMEK)를 사용하여 암호화되지 않습니다. 이러한 파일에 민감한 정보를 포함하지 마세요. 이러한 스크립트와 출력 파일을 Cloud Storage 버킷에 저장하는 것이 좋습니다. 자세한 내용은 OS 정책 예시를 참고하세요. 인라인 스크립트 또는 바이너리 출력 파일을 사용하는 OS 정책 리소스의 생성 또는 수정을 제한하려면 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 조직 정책 제약 조건을 사용 설정하세요. 자세한 내용은 OS 구성 제약 조건을 참고하세요.
instances.getSerialPortOutput()	이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약 조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
instances.getScreenshot()	이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 compute.disableInstanceDataAccessApis 조직 정책 제약 조건 값을 False로 변경합니다. 프로젝트 액세스 사용 설정의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.

Compute Engine 조직 정책 제약조건

조직 정책 제약조건	설명
compute.enableComplianceMemoryProtection	True로 설정합니다. 인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
compute.disableGlobalCloudArmorPolicy	True로 설정합니다. 새로운 전역 Google Cloud Armor 보안 정책을 만들 수 없으며 기존 전역 Google Cloud Armor 보안 정책에 규칙을 추가하거나 수정할 수 없습니다. 이 제약 조건은 규칙의 삭제 또는 전역 Google Cloud Armor 보안 정책의 설명 및 목록을 삭제하거나 변경하는 기능을 제한하지 않습니다. 리전 Google Cloud Armor 보안 정책은 이 제약 조건의 영향을 받지 않습니다. 이 제약 조건이 적용되기 전에 이미 있던 모든 전역 및 리전 보안 정책은 계속 유효합니다.
compute.disableGlobalLoadBalancing	True로 설정합니다. 전역 부하 분산 제품 만들기를 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
compute.disableInstanceDataAccessApis	True로 설정합니다. instances.getSerialPortOutput() 및 instances.getScreenshot() API를 전역적으로 사용 중지합니다. 이 제약조건을 사용 설정하면 Windows Server VM에서 사용자 인증 정보를 생성할 수 없습니다. Windows VM에서 사용자 이름과 비밀번호를 관리해야 하는 경우 다음을 수행합니다. Windows VM에 SSH 사용 설정. 다음 명령어를 실행하여 VM의 비밀번호를 변경합니다. gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 다음을 바꿉니다. VM_NAME: 비밀번호를 설정할 VM의 이름입니다. USERNAME: 비밀번호를 설정할 사용자의 사용자 이름입니다. PASSWORD: 새 비밀번호입니다.
compute.disableSshInBrowser	True로 설정합니다. OS 로그인 및 App Engine 가변형 환경 VM을 사용하는 VM에 대해 Google Cloud 콘솔에서 브라우저에서 SSH를 통해 연결 도구를 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
compute.restrictNonConfidentialComputing	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참고하세요.
compute.trustedImageProjects	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다.

Dataplex Universal Catalog

Dataplex 범용 카탈로그 기능

기능	설명
관점 및 용어집 메타데이터	측면 및 용어집은 지원되지 않습니다. 관점과 용어집을 검색하거나 관리할 수 없으며 맞춤 메타데이터를 가져올 수도 없습니다.
속성 스토어	이 기능은 지원이 중단되었으며 사용 중지되었습니다.
Data Catalog	이 기능은 지원이 중단되었으며 사용 중지되었습니다. Data Catalog에서 메타데이터를 검색하거나 관리할 수 없습니다.
데이터 품질 및 데이터 프로필 스캔	데이터 품질 스캔 결과 내보내기는 지원되지 않습니다.
탐색	이 기능은 사용 중지되었습니다. 검색 스캔을 실행하여 데이터에서 메타데이터를 추출할 수 없습니다.
레이크 및 영역	이 기능은 사용 중지되었습니다. 레이크, 영역, 태스크를 관리할 수 없습니다.

Google Cloud Armor

영향을 받는 Google Cloud Armor 기능

기능	설명
전역 범위 보안 정책	이 기능은 compute.disableGlobalCloudArmorPolicy 조직 정책 제약 조건에 의해 사용 중지됩니다.

Google Kubernetes Engine

Google Kubernetes Engine 조직 정책 제약조건

조직 정책 제약조건	설명
container.restrictNoncompliantDiagnosticDataAccess	True로 설정합니다. 워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 사용 중지합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.

Pub/Sub

Pub/Sub 조직 정책 제약 조건

조직 정책 제약조건	설명
pubsub.enforceInTransitRegions	True로 설정합니다. 고객 데이터가 Pub/Sub 주제의 메시지 스토리지 정책에 지정된 허용 리전 내에서만 전송되도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
pubsub.managed.disableTopicMessageTransforms	True로 설정합니다. Pub/Sub 주제가 단일 메시지 변환 (SMT)으로 설정되지 않도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
pubsub.managed.disableSubscriptionMessageTransforms	True로 설정합니다. Pub/Sub 구독이 단일 메시지 변환 (SMT)으로 설정되지 않도록 합니다. 이 값을 변경하면 워크로드의 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.

Spanner

Spanner 조직 정책 제약조건

조직 정책 제약조건	설명
spanner.assuredWorkloadsAdvancedServiceControls	True로 설정합니다. 추가 데이터 주권 및 지원 제어를 Spanner 리소스에 적용합니다.
spanner.disableMultiRegionInstanceIfNoLocationSelected	True로 설정합니다. 데이터 상주 및 데이터 주권을 적용하기 위해 멀티 리전 Spanner 인스턴스를 만드는 기능을 사용 중지합니다.

다음 단계

• Assured Workloads 폴더를 만드는 방법 알아보기
• Assured Workloads 가격 책정 이해하기