Audit Manager의 VPC 서비스 제어 구성

Google Cloud VPC 서비스 제어를 사용하면 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있습니다. Audit Manager가 서비스 경계 외부의 리소스와 서비스에 액세스할 수 있도록 VPC 서비스 제어를 사용하여 Audit Manager를 구성합니다.

시작하기 전에

  1. 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
  2. Audit Manager에서 리소스를 등록하는지 또는 감사를 실행하는지에 따라 다음 정보가 있는지 확인합니다.
    1. 감사를 위해 리소스를 등록할 때: Audit Manager를 설정할 때 지정한 Google Cloud 사용자 계정
    2. 감사를 실행할 때: Audit Manager 서비스 에이전트 감사를 위해 리소스를 등록할 때 자동으로 생성된

제한사항

  • 경계를 사용하여 폴더 수준 또는 조직 수준의 Audit Manager 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Audit Manager 권한을 관리하려면 IAM을 사용하는 것이 좋습니다. 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

인그레스 및 이그레스 규칙 구성

서비스 경계 구성에 따라 인그레스 및 이그레스 규칙을 구성합니다. 자세한 내용은 서비스 경계 개요를 참조하세요.

다음 작업을 실행할 때 인그레스 및 이그레스 규칙을 구성해야 할 수 있습니다.

  1. 감사할 리소스 등록
  2. 감사 실행

감사를 위해 리소스를 등록할 때 인그레스 및 이그레스 규칙 구성

Audit Manager에서 조직, 폴더 또는 프로젝트를 감사 리소스로 등록할 수 있습니다 .

다음 리소스가 동일한 서비스 경계 내에 없는 경우 인그레스 또는 이그레스 규칙을 구성해야 합니다.

  • Audit Manager 서비스 에이전트
  • 감사 데이터를 저장할 대상으로 구성된 Cloud Storage 버킷
  • 감사 프로세스에 관련된 서비스

다음 샘플의 Cloud Storage 메서드가 필요합니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.

Audit Manager를 설정할 때 지정한 Google Cloud 사용자 계정 에 대해 다음 작업을 완료합니다.

  1. 다음 인그레스 규칙을 구성합니다.

    - ingressFrom:
        identities:
        - user: USER_EMAIL_ADDRESS
        sources:
            - accessLevel: "*"
      ingressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
        resources: "*"
    

    다음을 바꿉니다.

    • USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
  2. 다음 이그레스 규칙을 구성합니다.

    - egressFrom:
       identities:
        - user: USER_EMAIL_ADDRESS
          sources:
            - accessLevel: "*"
      egressTo:
        operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
              - method: google.storage.buckets.getIamPolicy
              - method: google.storage.buckets.testIamPermissions
              - method: google.storage.objects.getIamPolicy
              - method: google.storage.buckets.setIamPolicy
              - method: google.storage.objects.setIamPolicy
              - method: google.storage.objects.create
              - method: google.storage.objects.get
      resources: "*"
    

    다음을 바꿉니다.

    • USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소

감사를 실행할 때 인그레스 및 이그레스 규칙 구성

프레임워크에 대해 감사를 실행할 수 있습니다.

감사 대상 폴더 또는 프로젝트와 등록된 Cloud Storage 버킷이 서로 다른 서비스 경계에 있는 경우 다음 인그레스 또는 이그레스 규칙을 구성합니다.

다음 샘플의 Cloud Storage 메서드가 필요합니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.

폴더 감사를 실행할 때 인그레스 규칙 구성

폴더 감사를 실행하고 등록된 Cloud Storage 버킷 또는 폴더 내 프로젝트 중 하나가 경계 내부 에 있는 경우 다음 인그레스 규칙을 구성합니다.

Audit Manager 서비스 계정에 대해 이 작업을 완료합니다.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

다음을 바꿉니다.

  • SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
  • USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소

등록된 Cloud Storage 버킷이 서비스 경계 내부에 있는 경우 인그레스 규칙 구성

프로젝트에 대해 감사가 실행되고 등록된 Cloud Storage 버킷이 서비스 경계 내부 에 있는 경우 다음 인그레스 규칙을 구성합니다.

Audit Manager 서비스 계정에 대해 이 작업을 완료합니다.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

다음을 바꿉니다.

  • SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
  • USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소

등록된 Cloud Storage 버킷이 서비스 경계 외부에 있는 경우 이그레스 규칙 구성

서비스 경계 내 프로젝트에 대해 감사가 실행되고 등록된 Cloud Storage 버킷이 경계 외부 에 있는 경우 다음 이그레스 규칙을 구성합니다.

Cloud Storage 버킷이 포함된 프로젝트에 대해 이 작업을 완료합니다.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

다음을 바꿉니다.

  • SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
  • USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소

VPC 서비스 제어에 문제가 발생하면 VPC 서비스 제어 위반 분석 도구를 사용하여 문제를 디버그하고 분석합니다. 자세한 내용은 위반 분석 도구에서 고유 ID를 사용하여 액세스 거부 진단을 참조하세요.

다음 단계