생성형 AI 사용 사례를 위한 인프라 제어

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME개

필요하지 않은 경우 공개 IP 주소가 있는 Compute Engine 인스턴스를 만들지 마세요. compute.vmExternalIpAccess 목록 제약 조건은 외부 IP 주소를 가질 수 있는 Compute Engine VM 인스턴스의 집합을 정의합니다.

Compute Engine 인스턴스에 외부 IP 주소가 없도록 하여 인터넷에 대한 노출을 대폭 줄입니다. 외부 IP 주소가 있는 인스턴스는 즉시 검색 가능하며 자동 스캔, 무차별 대입 공격, 취약점 악용 시도의 직접적인 타겟이 됩니다. 대신 인스턴스에서 비공개 IP 주소를 사용하도록 요구하고 IAP (Identity-Aware Proxy) 터널 또는 배스천 호스트와 같은 제어되고 인증되고 로깅된 경로를 통해 액세스를 관리합니다.

이 기본 거부 태세를 채택하는 것은 공격 표면을 최소화하고 네트워크에 제로 트러스트 접근 방식을 적용하는 데 도움이 되는 기본적인 보안 권장사항입니다. 이 제약조건은 소급되지 않습니다.

compute.vmExternalIpAccess 목록 제약 조건을 사용하면 외부 IP 주소를 할당하지 않아 가상 머신에 대한 외부 액세스를 제한할 수 있습니다. 가상 머신에 대한 모든 외부 IP 주소를 거부하도록 이 목록 제약 조건을 구성합니다.

cloudfunctions.requireVPCConnector 불리언 제약 조건에 따라 관리자는 Cloud Run 함수를 배포할 때 서버리스 VPC 액세스 커넥터를 지정해야 합니다. 적용되면 함수에서 커넥터를 지정해야 합니다.

• 리소스 위치 제한 (gcp.resourceLocations) 조직 정책 제약 조건을 사용하여 메시지 스토리지 정책을 설정합니다.
• 주제를 만들 때 메시지 스토리지 정책 구성 예를 들면 다음과 같습니다.

  gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

Dataflow 작업과 관련된 관리 및 모니터링 작업의 외부 IP 주소를 사용 중지합니다. 대신 SSH를 사용하여 Dataflow 작업자 VM에 대한 액세스를 구성하세요.

비공개 Google 액세스를 사용 설정하고 Dataflow 작업에서 다음 옵션 중 하나를 지정합니다.

• --usePublicIps=false 및 --network=NETWORK-NAME
• --subnetwork=SUBNETWORK-NAME

각 항목의 의미는 다음과 같습니다.

• NETWORK-NAME: Compute Engine 네트워크의 이름입니다.
• SUBNETWORK-NAME: Compute Engine 서브네트워크의 이름입니다.

네트워크 태그는 Dataflow 작업자 VM과 같은 Compute Engine VM에 연결되는 텍스트 속성입니다. 네트워크 태그를 사용하여 VPC 네트워크 방화벽 규칙과 일부 커스텀 정적 경로를 특정 VM 인스턴스에 적용할 수 있습니다. Dataflow는 특정 Dataflow 작업을 실행하는 모든 작업자 VM에 네트워크 태그를 추가할 수 있도록 지원합니다.