Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

승인 정책 개요

승인 정책을 사용하면 애플리케이션 부하 분산기, 에이전트 게이트웨이(비공개 미리보기), Secure Web Proxy와 같은 다양한Google Cloud 서비스를 통해 요청 또는 응답을 처리할 때 액세스 제어 검사와 콘텐츠 삭제 검사를 모두 설정할 수 있습니다.

에이전트 게이트웨이 및 Secure Web Proxy의 경우 승인 정책은 이러한 서비스의 게이트웨이 리소스에 직접 연결됩니다. 부하 분산기의 경우 승인 정책이 부하 분산기의 전달 규칙 리소스에 연결됩니다.

부하 분산기의 전달 규칙에 연결된 승인 정책(AuthzPolicy)을 사용하면 소스 및 의도된 작업을 기반으로 요청의 승인을 허용, 제한 또는 위임하는 조건을 지정할 수 있습니다. 이러한 검사를 통과하는 요청은 부하 분산기의 백엔드 서비스로 라우팅되는 반면, 이러한 검사를 통과하지 못하는 요청은 미승인 응답과 함께 거부됩니다.

부하 분산 스키마가 EXTERNAL_MANAGED 또는 INTERNAL_MANAGED인 모든 애플리케이션 부하 분산기의 전달 규칙에 승인 정책을 구성할 수 있습니다. 승인 정책을 지원하는 애플리케이션 부하 분산기는 다음과 같습니다.

전역 외부 애플리케이션 부하 분산기

리전 외부 애플리케이션 부하 분산기
리전 내부 애플리케이션 부하 분산기

교차 리전 내부 애플리케이션 부하 분산기

승인 정책 규칙

승인 정책은 들어오는 요청이 충족해야 할 HTTP 규칙 목록으로 구성됩니다.

ALLOW 또는 DENY 작업이 포함된 승인 정책의 경우에는 HTTP 규칙(AuthzRule)으로 트래픽의 부하 분산기 통과 허용 여부를 결정하는 조건이 정의됩니다. HTTP 규칙은 최소한 하나 이상 필요합니다.

CUSTOM 작업이 포함된 승인 정책의 경우에는 HTTP 규칙(AuthzRule)으로 트래픽을 커스텀 승인 제공자에게 위임할지 여부를 결정하는 조건이 정의됩니다. 커스텀 제공자는 필수 항목이고 HTTP 규칙은 선택 사항입니다.

정책 일치는 하나 이상의 HTTP 규칙이 요청과 일치하거나 정책에 HTTP 규칙이 정의되지 않은 경우에 발생합니다.

승인 정책 HTTP 규칙은 다음 필드로 구성됩니다.

from: 규칙에서 허용하는 클라이언트의 ID를 지정합니다. ID는 상호 TLS 연결의 클라이언트 인증서에서 파생될 수도 있고, 서비스 계정이나 보안 태그와 같이 클라이언트 가상 머신(VM) 인스턴스와 연결된 주변 ID일 수도 있습니다.
to: 액세스할 수 있는 URL 또는 허용되는 HTTP 메서드와 같이 규칙에서 허용하는 작업을 지정합니다.
when: 충족해야 하는 추가 제약조건을 지정합니다. Common Expression Language(CEL) 표현식을 사용하여 제약조건을 정의할 수 있습니다.

승인 정책 작업

요청을 평가할 때 승인 정책은 요청에 적용할 작업(AuthzAction)을 지정합니다. 승인 정책에는 다음 중 하나일 수 있는 작업이 최소한 하나 이상 있어야 합니다.

ALLOW: 요청이 ALLOW 정책에 지정된 규칙과 일치할 경우 요청이 백엔드로 전달되도록 허용합니다. ALLOW 정책이 있지만 일치하는 항목이 없으면 요청이 거부됩니다. 즉, ALLOW 작업이 있는 구성된 승인 정책 중 요청과 일치하는 정책이 없으면 요청이 거부됩니다. Cloud Logging에서 이 작업은 denied_as_no_allow_policies_matched_request로 로깅됩니다.

ALLOW 작업을 적용하려면 HTTP 규칙이 최소한 하나 이상 필요합니다.
DENY: 요청이 DENY 정책에 지정된 규칙과 일치하면 요청을 거부합니다. DENY 정책이 있지만 일치하는 항목이 없으면 요청이 허용됩니다. 즉, DENY 작업이 있는 구성된 승인 정책 중 요청과 일치하는 정책이 없으면 요청이 허용됩니다. Cloud Logging에서 이 작업은 allowed_as_no_deny_policies_matched_request로 로깅됩니다.

DENY 작업을 적용하려면 HTTP 규칙이 최소한 하나 이상 필요합니다.
CUSTOM: 승인 결정을 IAP 또는 서비스 확장 프로그램과 같은 커스텀 승인 제공자에게 위임합니다. 자세한 내용은 승인 결정 위임을 참고하세요.

CUSTOM 정책에 대해 구성된 HTTP 규칙이 있는 경우 커스텀 제공자를 호출하려면 요청이 HTTP 규칙과 일치해야 합니다. 하지만 정의된 HTTP 규칙이 없으면 승인 정책이 항상 승인 결정을 커스텀 승인 제공자에게 위임합니다. 자세한 내용은 승인 결정을 위임하는 승인 정책의 예시를 참고하세요.

승인 정책 평가 순서

승인 정책은 액세스 제어를 위해 CUSTOM, DENY, ALLOW 정책을 지원합니다. 여러 승인 정책이 단일 리소스와 연결된 경우에는 CUSTOM 정책이 먼저 평가되고, 그다음으로 DENY 정책, 마지막으로 ALLOW 정책이 평가됩니다. 평가는 다음 규칙에 따라 결정됩니다.

요청과 일치하는 CUSTOM 정책이 있는 경우 커스텀 승인 제공업체를 사용하여 CUSTOM 정책이 평가됩니다. 커스텀 제공업체에서 요청을 거부하면 요청이 거부됩니다. DENY 또는 ALLOW 정책이 구성되어 있더라도 평가되지 않습니다.
요청과 일치하는 DENY 정책이 있으면 요청이 거부됩니다. 구성된 ALLOW 정책이 있더라도 평가되지 않습니다.
ALLOW 정책이 없으면 요청이 허용됩니다.
ALLOW 정책 중 하나라도 요청과 일치하면 요청이 허용됩니다.
ALLOW 정책이 있지만 일치하는 항목이 없으면 요청이 거부됩니다. 즉, ALLOW 작업이 있는 구성된 AuthzPolicies 중 요청과 일치하는 항목이 없으면 기본적으로 요청이 거부됩니다.

리전 외부 애플리케이션 부하 분산기, 리전 내부 애플리케이션 부하 분산기, 에이전트 게이트웨이, Secure Web Proxy(정책 프로필을 지원하는Google Cloud 서비스)의 경우 승인 정책 평가 순서는 다음과 같습니다.

요청과 일치하는 맞춤 요청 승인 (REQUEST_AUTHZ) 정책이 있는 경우 맞춤 승인 제공업체를 사용하여 REQUEST_AUTHZ 정책이 평가됩니다. 커스텀 제공업체에서 요청을 거부하면 요청이 거부됩니다. DENY, ALLOW, CONTENT_AUTHZ 정책이 구성되어 있더라도 평가되지 않습니다.
요청과 일치하는 DENY 정책이 있으면 요청이 거부됩니다. ALLOW 및 CONTENT_AUTHZ 정책이 구성되어 있더라도 평가되지 않습니다.
ALLOW 정책이 없으면 요청이 콘텐츠 승인 (CONTENT_AUTHZ) 평가로 진행됩니다.
ALLOW 정책 중 하나라도 요청과 일치하면 요청이 CONTENT_AUTHZ 평가로 진행됩니다.
ALLOW 정책이 있지만 일치하는 항목이 없으면 요청이 거부됩니다. CONTENT_AUTHZ 정책은 평가되지 않습니다.
요청과 일치하는 CONTENT_AUTHZ 정책이 있으면 마지막으로 평가됩니다. 커스텀 제공업체에서 요청을 거부하면 요청이 거부됩니다.

승인 정책의 정책 프로필

승인 정책의 정책 프로필은 다음 Google Cloud 서비스에서 지원됩니다.

리전 외부 애플리케이션 부하 분산기
리전 내부 애플리케이션 부하 분산기
에이전트 게이트웨이
Secure Web Proxy

승인 정책의 정책 프로필 (PolicyProfile)은 다음 유형에 해당합니다.

요청 승인 프로필 (REQUEST_AUTHZ): HTTP 요청 헤더의 정보를 사용하여 트래픽을 허용하거나 거부합니다.
콘텐츠 승인 프로필 (CONTENT_AUTHZ): 콘텐츠 기반 보안 및 필터링을 제공하여 프롬프트 인젝션 공격을 차단하고, 민감한 정보 유출을 방지하고, 유해한 콘텐츠를 필터링합니다.

REQUEST_AUTHZ 프로필 또는 CONTENT_AUTHZ 프로필 중 하나를 사용하여 승인 정책을 구성할 수 있지만 둘 다 사용할 수는 없습니다. 정책 프로필을 지정하지 않으면 승인 정책에서 기본적으로 REQUEST_AUTHZ 프로필을 사용합니다.

승인 프로필 요청

REQUEST_AUTHZ 정책 프로필을 사용하는 승인 정책은 수신 트래픽의 액세스 결정을 직접 평가하거나 위임할 수 있습니다. 승인 확장 프로그램을 사용하여 액세스 결정을 IAP(Identity-Aware Proxy) 또는 커스텀 승인 엔진에 위임할 수 있습니다. REQUEST_AUTHZ 정책 프로필은 HTTP 요청 헤더의 정보를 기반으로 요청을 허용하거나 거부합니다.

REQUEST_AUTHZ 정책 프로필이 있는 승인 정책은 요청에 적용되는 ALLOW, DENY 또는 CUSTOM 작업을 가질 수 있습니다. ALLOW 또는 DENY 작업은 액세스 결정이 직접 평가됨을 의미하고 CUSTOM 작업은 액세스 결정이 위임됨을 의미합니다.

액세스 결정이 위임되면 부하 분산기의 전달 규칙에 구성된 승인 정책이 콜아웃 백엔드 서비스에서 실행되는 요청 승인 확장 프로그램으로 연결됩니다. 각 승인 요청에 대해 부하 분산기는 Envoy의 ext_proc 또는 ext_authz 프로토콜을 사용하여 요청 헤더를 승인 확장 프로그램에 전달합니다. 확장 프로그램의 응답에 따라 부하 분산기 프록시는 요청을 백엔드 서비스로 전달하거나 요청을 거부합니다.

정책 프로필을 지정하지 않으면 승인 정책은 기본적으로 요청 승인 프로필 (REQUEST_AUTHZ)을 사용합니다.

콘텐츠 승인 프로필

CONTENT_AUTHZ 정책 프로필을 사용하는 승인 정책을 사용하여 애플리케이션 페이로드에 대한 심층 검사를 실행하여 요청을 허용 또는 거부하거나 필요에 따라 요청 또는 응답을 변경할 수 있습니다. 액세스 결정은 Model Armor 또는 자체 콘텐츠 삭제 확장 프로그램에 위임할 수 있습니다.

CONTENT_AUTHZ 정책 프로필이 있는 승인 정책은 요청에 CUSTOM 작업만 적용할 수 있습니다. 즉, 요청을 직접 평가할 수 없으며 위임해야 합니다.

부하 분산기의 전달 규칙에 구성된 승인 정책은 콘텐츠 승인 확장 프로그램을 가리킵니다. 각 승인 요청에 대해 부하 분산기는 Envoy의 ext_proc 프로토콜을 전이중 스트리밍 모드 (FULL_DUPLEX_STREAMED)로 사용하여 헤더, 본문, 트레일러를 포함한 전체 요청 및 응답 콘텐츠를 콘텐츠 승인 확장 프로그램에 전달합니다. 확장의 응답에 따라 부하 분산기 프록시는 요청을 대상으로 전달하거나 요청을 거부합니다. 요청의 경우 대상은 부하 분산기의 백엔드 서비스이고 응답의 경우 대상은 클라이언트입니다.

승인 결정 위임

승인 정책은 직접 평가하거나 위임할 수 있습니다. 승인 정책을 사용하여 표현할 수 없는 복잡한 승인 결정의 경우 CUSTOM 작업으로 승인 정책을 만들고 Service Extensions를 통해 승인 결정을 Google 관리 서비스 또는 사용자 관리 서비스에 위임할 수 있습니다.

Google 관리형 서비스
- Model Armor
- IAP(Identity-Aware Proxy)
사용자 관리 서비스
- Google Cloud 백엔드 서비스
- Envoy의 ext_proc 또는 ext_authz 프로토콜을 지원하는 정규화된 도메인 이름 (FQDN)으로 액세스할 수 있는 서비스

다음 표에는 Service Extensions를 통해 승인 결정을 위임할 수 있는 다양한 서비스가 요약되어 있습니다.

승인 정책	Service Extensions에 위임됨 (승인 확장 프로그램)
	Google 관리 서비스		사용자 관리 서비스
	Model Armor	IAP(Identity-Aware Proxy)	Google Cloud 백엔드 서비스	FQDN 기반 서비스
`REQUEST_AUTHZ` 프로필
`CONTENT_AUTHZ` 프로필

Service Extensions

승인 정책을 사용하여 승인 결정을 Service Extensions(특히 승인 확장 프로그램 유형)에 위임할 수 있습니다. 승인 확장 프로그램은 Google Cloud애플리케이션 부하 분산기에 커스텀 로직을 삽입하는 콜아웃을 지원합니다. 이 기능을 사용하면 헤더 재작성, 증분 보안, 맞춤 로깅, 맞춤 사용자 인증과 같이 부하 분산기에서 처리하는 트래픽에 다양한 작업을 실행하는 코드를 직접 작성할 수 있습니다.

Service Extensions 콜아웃을 사용하면 부하 분산기에서 부하 분산 데이터 처리 경로 내의 트래픽을 gRPC 호출을 사용하여 사용자 관리 또는 Google 관리 콜아웃 서비스로 전달하도록 지시할 수 있습니다. 다양한 호출 서비스는 앞의 표에 정의되어 있습니다. 이러한 콜아웃 서비스는 승인 확장 프로그램을 실행하며 추가 처리를 위해 트래픽을 부하 분산기로 반환하기 전에 다양한 정책 또는 기능을 적용할 수 있습니다. 다음 다이어그램에서 이 프로세스를 볼 수 있습니다.

승인 정책은 승인 결정을 Service Extensions, 특히 승인 확장 프로그램 유형에 위임할 수 있습니다. — 승인 확장 프로그램을 통해 승인 결정을 위임하는 승인 정책 (확대하려면 클릭)

승인 결정을 승인 확장 프로그램에 위임하려면 콜아웃 서비스에서 실행되는 승인 확장 프로그램 (AuthzExtension)을 만드세요. 그런 다음 CUSTOM 작업으로 승인 정책을 만들고 만든 승인 확장 프로그램으로 지정할 수 있습니다. 승인 확장 프로그램을 사용하면 요청 수준 승인(REQUEST_AUTHZ)과 콘텐츠 정리 (CONTENT_AUTHZ)를 모두 실행할 수 있습니다.

사용자 관리Google Cloud 백엔드 서비스 또는 FQDN 기반 서비스에 승인 결정을 위임하는 방법을 자세히 알아보려면 사용자 관리 서비스에 승인 결정 위임을 참고하세요.

데이터 처리 경로의 승인 확장 프로그램

승인 결정을 서비스 확장 프로그램(특히 승인 확장 프로그램 유형)에 위임할 때는 다음 용어를 참고하세요.

REQUEST_AUTHZ 정책 프로필이 있는 맞춤 승인 정책이 승인 확장 프로그램 (AuthzExtension)을 가리키는 경우 승인 확장 프로그램을 요청 승인 확장 프로그램이라고 합니다.
CONTENT_AUTHZ 정책 프로필이 있는 승인 정책이 승인 확장 프로그램 (AuthzExtension)을 가리키는 경우 승인 확장 프로그램을 콘텐츠 승인 확장 프로그램이라고 합니다.

요청 처리 경로에서 요청 승인 확장 프로그램이 먼저 호출되고, 거부 및 허용 정책 평가, 콘텐츠 승인 확장 프로그램, 트래픽 확장 프로그램이 차례로 호출됩니다. 콘텐츠 승인 확장 프로그램은 응답 처리 경로에서도 호출할 수 있습니다. 다음 다이어그램은 다양한 확장 프로그램이 호출되는 순서를 보여줍니다.

콘텐츠 승인 확장 프로그램 전에 요청 승인 확장 프로그램이 호출됩니다. — 콘텐츠 승인 확장 프로그램 전에 호출되는 승인 확장 프로그램 요청 (확대하려면 클릭)

다양한 확장 프로그램을 데이터 처리 경로의 특정 지점에서 트리거되는 후크로 생각할 수 있습니다. 다양한 확장 프로그램에 대해 자세히 알아보려면 Service Extensions 문서의 부하 분산 데이터 경로의 확장성 포인트를 참고하세요.

Model Armor

승인 정책을 사용하여 Model Armor가 유해한 콘텐츠 생성을 방지하고, 프롬프트 인젝션을 방지하고, 데이터 유출을 방지하는 AI 가드레일을 적용하도록 할 수 있습니다.

이렇게 하려면 Model Armor 서비스에서 실행되는 승인 확장 프로그램 (AuthzExtension)을 만들면 됩니다. 그런 다음 CUSTOM 작업과 생성한 승인 확장 프로그램을 가리키는 CONTENT_AUTHZ 프로필을 사용하여 승인 정책을 만들 수 있습니다.

Model Armor에 승인을 위임하는 방법을 자세히 알아보려면 Model Armor에 승인 결정 위임을 참고하세요.

IAP(Identity-Aware Proxy)

승인 결정을 IAP(Identity-Aware Proxy)에 위임할 수 있습니다. IAP는 사용자가 애플리케이션 또는 리소스에 액세스하도록 허용할지 결정하기 위해 요청의 사용자 ID와 컨텍스트를 확인합니다.

전역 외부 애플리케이션 부하 분산기 및 리전 간 내부 애플리케이션 부하 분산기의 경우 승인 확장 프로그램을 통해 승인 결정을 IAP에 위임할 수 없습니다.

리전 외부 애플리케이션 부하 분산기 및 리전 내부 애플리케이션 부하 분산기의 경우 승인 확장 프로그램을 통해 승인 결정을 IAP에 위임하도록 승인 정책을 구성할 수 있습니다.

IAP를 승인 서비스로 사용하는 방법을 자세히 알아보려면 IAP(Identity-Aware Proxy)에 승인 결정 위임을 참고하세요.

주 구성원 기반 승인 정책

세부적인 수준으로 트래픽 소스를 식별하려면 클라이언트 인증서에서 파생된 ID를 기반으로 승인 정책을 구성하면 됩니다. 이 방법을 사용하려면 부하 분산기에서 프런트엔드 mTLS가 사용 설정되어 있어야 하며 이 방법에서는 다음 인증서 속성을 식별을 위한 주 구성원 선택기로 사용합니다.

클라이언트 인증서 URI SAN(CLIENT_CERT_URI_SAN)
클라이언트 인증서 DNS 이름 SAN(CLIENT_CERT_DNS_NAME_SAN)
클라이언트 인증서 일반 이름(CLIENT_CERT_COMMON_NAME)

식별을 위해 지정된 주 구성원 선택기가 없으면 CLIENT_CERT_URI_SAN이 기본 주 구성원 선택기로 사용됩니다. 즉, 승인 결정을 내릴 때 클라이언트 인증서 URI SAN이 평가됩니다.

주 구성원 기반 승인이 작동하려면 다음 조건을 충족해야 합니다.

프런트엔드 mTLS가 사용 설정되어야 합니다. 프런트엔드 mTLS가 사용 설정되지 않으면 클라이언트는 인증서를 제공하지 않습니다. 따라서 승인 정책의 주 구성원 기반 규칙은 평가할 인증서 정보를 찾지 못합니다. 예를 들어 CLIENT_CERT_URI_SAN을 확인하는 규칙은 빈 값을 확인합니다.
유효한 클라이언트 인증서가 있어야 합니다. mTLS가 사용 설정된 경우에도 누락되거나 잘못된 인증서로 연결이 설정되면 클라이언트 인증서가 승인에 사용되지 않습니다. 이 시나리오는 mTLS 클라이언트 검증 모드가 허용 모드 ALLOW_INVALID_OR_MISSING_CLIENT_CERT로 설정된 경우에 발생합니다. 이 경우에도 승인 정책의 주 구성원 기반 규칙은 평가할 인증서 정보를 찾지 못합니다. 예를 들어 CLIENT_CERT_URI_SAN을 확인하는 규칙은 빈 값을 확인합니다.

속성 크기 제한 영향

승인 결정은 클라이언트 인증서 속성 크기에 민감합니다. 속성이 크기 제한을 초과하고 정책이 해당 속성을 검증하도록 구성된 경우에는 요청이 거부됩니다.

다음과 같은 경우에는 거부될 수 있습니다.

정책이 CLIENT_CERT_URI_SAN에 대해 검증되고 인증서의 URI SAN이 크기 제한을 초과합니다.
정책이 CLIENT_CERT_DNS_NAME_SAN에 대해 검증되고 인증서의 DNS 이름 SAN이 크기 제한을 초과합니다.
정책이 CLIENT_CERT_COMMON_NAME에 대해 검증되고 인증서 주체(공통 이름 포함)가 크기 제한을 초과합니다.

인증서 속성이 크기 제한을 초과하지만 정책의 주 구성원 선택기에서 명시적으로 검증되지 않는 경우 요청은 구성된 주 구성원 규칙에 대해 평가됩니다. 예를 들어 정책이 CLIENT_CERT_DNS_NAME_SAN만 검증하도록 구성된 경우 URI SAN이 너무 큰 클라이언트의 요청은 이러한 이유로 거부되지 않습니다. 정책은 DNS 이름 SAN을 기반으로 요청을 평가합니다.

주 구성원을 기반으로 하는 승인 정책의 예시를 보려면 요청을 거부하는 승인 정책을 참고하세요.

서비스 계정 또는 보안 태그 기반의 승인 정책

서비스 계정 또는 보안 태그를 기반으로 하는 승인 정책은 다음 부하 분산기에서 지원됩니다.

리전 내부 애플리케이션 부하 분산기
교차 리전 내부 애플리케이션 부하 분산기

서비스 계정 및 보안 태그를 기반으로 하는 승인 정책을 사용하면 IP 주소뿐만 아니라 트래픽을 전송하는 주체에 따라 보안 규칙을 적용할 수 있습니다. 따라서 서비스 계정 및 보안 태그를 사용하여 보안 경계를 정의함으로써 IP 기반 규칙에서 ID 기반 제어로 전환됩니다. 예를 들어 다음을 수행하는 승인 정책을 만들 수 있습니다.

특정 서비스 계정 (my-sa-123@PROJECT_ID.iam.gserviceaccount.com)이 있는 Compute Engine VM이 /api/payments 경로에 도달하는 것을 거부합니다.
보안 태그 (environment: prod 키-값 쌍)가 있는 Compute Engine VM이 /api/payments 경로에 도달하도록 허용합니다.

다양한 Google Cloud 서비스에 연결된 서비스 계정 또는 보안 태그를 기반으로 승인 정책을 적용할 수 있습니다. 특정 서비스 계정 또는 보안 태그에 연결된 Google Cloud 서비스에서 시작되는 트래픽은 허용되거나 거부되거나 추가 평가를 위해 위임될 수 있습니다.

다음 표에는 서비스 계정 및 보안 태그 사용을 지원하는 다양한 Google Cloud 서비스가 나와 있습니다.

Google Cloud 서비스	서비스 계정 지원	보안 태그 지원
Compute Engine 가상 머신 (VM)
Google Kubernetes Engine (GKE) 노드
Google Kubernetes Engine (GKE) 컨테이너	¹	¹
Cloud Run용 직접 VPC		¹
서버리스 VPC 액세스 커넥터	²	²
Cloud VPN	¹	¹
온프레미스 Cloud Interconnect	¹	¹
애플리케이션 부하 분산기	³	³
네트워크 부하 분산기	³	³

¹ Google Cloud에서는 지원되지 않습니다.

² 소스 IP 주소는 고유하며 대신 사용할 수 있습니다.

³ 계층화된 아키텍처에서 애플리케이션 부하 분산기와 네트워크 부하 분산기가 트래픽 소스로 사용되는 경우 서비스 계정과 태그가 지원되지 않습니다.

다음 표에는 서비스 계정 및 태그 사용을 지원하는 다양한 가상 프라이빗 클라우드 (VPC) 아키텍처가 나와 있습니다.

VPC	VPC 아키텍처	지원
VPC 내	프로젝트 간(공유 VPC)
VPC 내	리전 간
VPC 간	피어링 링크 간(피어 VPC)
VPC 간	Private Service Connect 간
VPC 간	Network Connectivity Center 스포크 간

Google Cloud 리소스에 연결된 서비스 계정 및 태그를 기반으로 승인 정책을 설정하는 방법은 서비스 계정 또는 태그 기반의 승인 정책을 참고하세요.

할당량

승인 정책의 할당량 관련 정보는 승인 정책의 할당량 및 제한을 참조하세요.

가격 책정

가격 정보는 네트워크 가격 책정: Cloud Load Balancing을 참고하세요.

다음 단계

애플리케이션 부하 분산기의 승인 정책 설정

승인 확장 프로그램 구성