VPC 서비스 제어는 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있는 Cloud Run Functions Google Cloud 기능입니다.
Developer Connect의 VPC 서비스 제어는 외부 소스 코드 관리 시스템으로의 유출을 방지하지 않습니다. 이 가이드에서는 맞춤 조직 정책을 사용하여 이러한 시나리오를 차단하는 데 도움이 되는 추가 컨트롤을 보여줍니다. SCMS
VPC 서비스 제어 사용 방법에 대한 자세한 내용은 VPC 서비스 제어를 사용하여 서비스 경계 설정을 참고하세요.
개발자가 연결을 만들 수 있는 대상을 제한하는 맞춤 조직 정책을 만듭니다.
개발자가 특정 서비스 디렉터리 리소스를 통해서만 연결을 만들고 업데이트할 수 있도록 하는 맞춤 조직 정책을 만듭니다.
시작하기 전에
이 가이드에서 명령줄 예시를 사용하려면 Google Cloud CLI를 설치하고 구성합니다.
필요한 역할
커스텀 조직 정책을 만들거나 수정하는 데 필요한 권한을 얻으려면 관리자에게 조직 리소스에 대한 조직 정책 관리자 (roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
팀에서 연결을 만들 수 있는 SCMS를 제한하는 제약 조건 만들기
SCMS로의 데이터 무단 반출 가능성을 완화하는 한 가지 방법은 연결이 허용되는 SCMS를 제한하는 것입니다. 하나 이상의 지정된 SCMS에 대한 연결을 허용하는 맞춤 조직 정책을 만들 수 있습니다.
다음 조직 정책은 GitHub Enterprise에만 연결할 수 있도록 저장소 연결을 제한합니다.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
서비스 디렉터리를 통한 연결을 요구하는 제약 조건 만들기
지정된 서비스 디렉터리 엔드포인트에만 연결을 허용하는 맞춤 조직 정책을 만들어 데이터 유출 가능성을 완화할 수 있습니다.
다음 조직 정책은 특정 서비스 디렉터리 엔드포인트에만 연결을 허용합니다.
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource