Google Cloud VPC 서비스 제어를 사용하면 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있습니다. Audit Manager가 서비스 경계 외부의 리소스와 서비스에 액세스할 수 있도록 VPC 서비스 제어를 사용하여 Audit Manager를 구성합니다.
시작하기 전에
- 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
- Audit Manager에서 리소스를 등록하는지 또는 감사를 실행하는지에 따라 다음 정보가 있는지 확인합니다.
- 감사를 위해 리소스를 등록할 때: Audit Manager를 설정할 때 지정한 Google Cloud 사용자 계정
- 감사를 실행할 때: Audit Manager 서비스 에이전트 감사를 위해 리소스를 등록할 때 자동으로 생성된
제한사항
- 경계를 사용하여 폴더 수준 또는 조직 수준의 Audit Manager 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Audit Manager 권한을 관리하려면 IAM을 사용하는 것이 좋습니다. 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
인그레스 및 이그레스 규칙 구성
서비스 경계 구성에 따라 인그레스 및 이그레스 규칙을 구성합니다. 자세한 내용은 서비스 경계 개요를 참조하세요.
다음 작업을 실행할 때 인그레스 및 이그레스 규칙을 구성해야 할 수 있습니다.
- 감사할 리소스 등록
- 감사 실행
감사를 위해 리소스를 등록할 때 인그레스 및 이그레스 규칙 구성
Audit Manager에서 조직, 폴더 또는 프로젝트를 감사 리소스로 등록할 수 있습니다 .
다음 리소스가 동일한 서비스 경계 내에 없는 경우 인그레스 또는 이그레스 규칙을 구성해야 합니다.
- Audit Manager 서비스 에이전트
- 감사 데이터를 저장할 대상으로 구성된 Cloud Storage 버킷
- 감사 프로세스에 관련된 서비스
다음 샘플의 Cloud Storage 메서드가 필요합니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.
Audit Manager를 설정할 때 지정한 Google Cloud 사용자 계정 에 대해 다음 작업을 완료합니다.
다음 인그레스 규칙을 구성합니다.
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
- USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
다음 이그레스 규칙을 구성합니다.
- egressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
- USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
감사를 실행할 때 인그레스 및 이그레스 규칙 구성
프레임워크에 대해 감사를 실행할 수 있습니다.
감사 대상 폴더 또는 프로젝트와 등록된 Cloud Storage 버킷이 서로 다른 서비스 경계에 있는 경우 다음 인그레스 또는 이그레스 규칙을 구성합니다.
다음 샘플의 Cloud Storage 메서드가 필요합니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.
폴더 감사를 실행할 때 인그레스 규칙 구성
폴더 감사를 실행하고 등록된 Cloud Storage 버킷 또는 폴더 내 프로젝트 중 하나가 경계 내부 에 있는 경우 다음 인그레스 규칙을 구성합니다.
Audit Manager 서비스 계정에 대해 이 작업을 완료합니다.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: "*"
resources: "*"
다음을 바꿉니다.
- SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
- USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
등록된 Cloud Storage 버킷이 서비스 경계 내부에 있는 경우 인그레스 규칙 구성
프로젝트에 대해 감사가 실행되고 등록된 Cloud Storage 버킷이 서비스 경계 내부 에 있는 경우 다음 인그레스 규칙을 구성합니다.
Audit Manager 서비스 계정에 대해 이 작업을 완료합니다.
- ingressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
다음을 바꿉니다.
- SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
- USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
등록된 Cloud Storage 버킷이 서비스 경계 외부에 있는 경우 이그레스 규칙 구성
서비스 경계 내 프로젝트에 대해 감사가 실행되고 등록된 Cloud Storage 버킷이 경계 외부 에 있는 경우 다음 이그레스 규칙을 구성합니다.
Cloud Storage 버킷이 포함된 프로젝트에 대해 이 작업을 완료합니다.
- egressFrom:
identities:
- serviceAccount: SA_EMAIL_ADDRESS
- user: USER_EMAIL_ADDRESS
sources:
- accessLevel: "*"
egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.getIamPolicy
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.getIamPolicy
- method: google.storage.buckets.setIamPolicy
- method: google.storage.objects.setIamPolicy
- method: google.storage.objects.create
- method: google.storage.objects.get
resources: "*"
다음을 바꿉니다.
- SA_EMAIL_ADDRESS: Audit Manager 서비스 계정의 이메일 주소
- USER_EMAIL_ADDRESS: Audit Manager를 설정할 때 지정한 이메일 주소
VPC 서비스 제어에 문제가 발생하면 VPC 서비스 제어 위반 분석 도구를 사용하여 문제를 디버그하고 분석합니다. 자세한 내용은 위반 분석 도구에서 고유 ID를 사용하여 액세스 거부 진단을 참조하세요.