Audit Manager의 VPC 서비스 제어 구성

Google Cloud VPC 서비스 제어를 사용하면 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있습니다. Audit Manager가 서비스 경계 외부의 리소스와 서비스에 액세스할 수 있도록 VPC 서비스 제어를 사용하여 Audit Manager를 구성합니다.

시작하기 전에

1. 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
2. 감사 관리자에서 리소스를 등록하는지 아니면 감사를 실행하는지에 따라 다음 정보가 있는지 확인합니다.
   1. 감사를 위해 리소스를 등록하는 경우: 감사 관리자를 설정할 때 지정한 Google Cloud 사용자 계정
   2. 감사를 실행할 때: 감사를 위해 리소스를 등록할 때 자동으로 생성된 감사 관리자 서비스 에이전트

제한사항

• 경계를 사용하여 폴더 수준 또는 조직 수준의 Audit Manager 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Audit Manager 권한을 관리하려면 IAM을 사용하는 것이 좋습니다. 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참고하세요.

인그레스 및 이그레스 규칙 구성

서비스 경계 구성을 기반으로 인그레스 및 이그레스 규칙을 구성합니다. 자세한 내용은 서비스 경계 개요를 참고하세요.

다음 작업을 실행할 때 인그레스 및 이그레스 규칙을 구성해야 할 수 있습니다.

1. 감사할 리소스 등록
2. 감사 실행

감사할 리소스를 등록할 때 인그레스 및 이그레스 규칙 구성

감사 관리자에서 조직, 폴더 또는 프로젝트를 감사 리소스로 등록할 수 있습니다.

다음 리소스 중 하나라도 동일한 서비스 경계 내에 있지 않으면 인그레스 또는 이그레스 규칙을 구성해야 합니다.

• 감사 관리자 서비스 에이전트
• 감사 데이터를 저장할 대상으로 구성된 Cloud Storage 버킷
• 감사 절차에 포함된 서비스

다음 샘플의 Cloud Storage 메서드는 필수입니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.

감사 관리자를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 작업을 완료합니다.

1. 다음 인그레스 규칙을 구성합니다.

   - ingressFrom:
       identities:
       - user: USER_EMAIL_ADDRESS
       sources:
           - accessLevel: "*"
     ingressTo:
       operations:
         - serviceName: storage.googleapis.com
           methodSelectors:
             - method: google.storage.buckets.getIamPolicy
             - method: google.storage.buckets.testIamPermissions
             - method: google.storage.objects.getIamPolicy
             - method: google.storage.buckets.setIamPolicy
             - method: google.storage.objects.setIamPolicy
             - method: google.storage.objects.create
             - method: google.storage.objects.get
       resources: "*"
   

   다음을 바꿉니다.

   • USER_EMAIL_ADDRESS: 감사 관리자를 설정할 때 지정한 이메일 주소

2. 다음 이그레스 규칙을 구성합니다.

   - egressFrom:
      identities:
       - user: USER_EMAIL_ADDRESS
         sources:
           - accessLevel: "*"
     egressTo:
       operations:
         - serviceName: storage.googleapis.com
           methodSelectors:
             - method: google.storage.buckets.getIamPolicy
             - method: google.storage.buckets.testIamPermissions
             - method: google.storage.objects.getIamPolicy
             - method: google.storage.buckets.setIamPolicy
             - method: google.storage.objects.setIamPolicy
             - method: google.storage.objects.create
             - method: google.storage.objects.get
     resources: "*"
   

   다음을 바꿉니다.

   • USER_EMAIL_ADDRESS: 감사 관리자를 설정할 때 지정한 이메일 주소

감사 실행 시 인그레스 및 이그레스 규칙 구성

사전 정의된 규정 준수 프레임워크 또는 맞춤 규정 준수 프레임워크에 대해 감사를 실행할 수 있습니다.

감사 대상 폴더 또는 프로젝트와 등록된 Cloud Storage 버킷이 서로 다른 서비스 경계에 있는 경우 다음 인그레스 또는 이그레스 규칙을 구성합니다.

다음 샘플의 Cloud Storage 메서드는 필수입니다. 다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.

폴더에 대한 감사를 실행할 때 인그레스 규칙 구성

폴더에 대한 감사를 실행하고 등록된 Cloud Storage 버킷 또는 폴더 내 프로젝트 중 하나가 경계 내부에 있는 경우 다음 인그레스 규칙을 구성합니다.

감사 관리자 서비스 계정에 대해 이 작업을 완료합니다.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: "*"
    resources: "*"

다음을 바꿉니다.

• SA_EMAIL_ADDRESS: 감사 관리자 서비스 계정의 이메일 주소
• USER_EMAIL_ADDRESS: 감사 관리자를 설정할 때 지정한 이메일 주소

등록된 Cloud Storage 버킷이 서비스 경계 내에 있는 경우 인그레스 규칙 구성

프로젝트에 대해 감사를 실행하고 등록된 Cloud Storage 버킷이 서비스 경계 내부에 있는 경우 다음 인그레스 규칙을 구성합니다.

감사 관리자 서비스 계정에 대해 이 작업을 완료합니다.

- ingressFrom:
    identities:
    - serviceAccount: SA_EMAIL_ADDRESS
    - user: USER_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
  ingressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
  resources: "*"

다음을 바꿉니다.

• SA_EMAIL_ADDRESS: 감사 관리자 서비스 계정의 이메일 주소
• USER_EMAIL_ADDRESS: 감사 관리자를 설정할 때 지정한 이메일 주소

등록된 Cloud Storage 버킷이 서비스 경계 외부에 있는 경우 이그레스 규칙 구성

서비스 경계 내의 프로젝트에 대해 감사를 실행하고 등록된 Cloud Storage 버킷이 경계 외부에 있는 경우 다음 이그레스 규칙을 구성합니다.

Cloud Storage 버킷이 포함된 프로젝트에 대해 이 작업을 완료합니다.

- egressFrom:
   identities:
      - serviceAccount: SA_EMAIL_ADDRESS
        - user: USER_EMAIL_ADDRESS
      sources:
        - accessLevel: "*"
  egressTo:
    operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: google.storage.buckets.getIamPolicy
            - method: google.storage.buckets.testIamPermissions
            - method: google.storage.objects.getIamPolicy
            - method: google.storage.buckets.setIamPolicy
            - method: google.storage.objects.setIamPolicy
            - method: google.storage.objects.create
            - method: google.storage.objects.get
    resources: "*"

다음을 바꿉니다.

• SA_EMAIL_ADDRESS: 감사 관리자 서비스 계정의 이메일 주소
• USER_EMAIL_ADDRESS: 감사 관리자를 설정할 때 지정한 이메일 주소

VPC 서비스 제어에 문제가 발생하면 VPC 서비스 제어 위반 분석기를 사용하여 문제를 디버그하고 분석하세요. 자세한 내용은 위반 분석 도구에서 고유 ID를 사용하여 액세스 거부 진단을 참고하세요.

다음 단계

• VPC 서비스 제어 자세히 알아보기
• VPC 서비스 제어 지원 제품 표에서 Audit Manager 항목을 참고하세요.