이 문서에서는 로그 분석을 사용할 때 피싱, 내부자 공격 또는 외부 엔티티를 통한 데이터 유출을 방지하는 데 도움이 되는 Google Cloud 기능을 설명합니다. 또한 로그 애널리틱스에서 사용할 수 있는 두 가지 쿼리 엔진과 쿼리 엔진 선택이 쿼리할 수 있는 데이터에 미치는 영향도 설명합니다.
조직 액세스 제한
조직 제한을 사용하여 승인된 Google Cloud 조직의 리소스에만 액세스할 수 있도록 주 구성원을 제한할 수 있습니다. 기본적으로 조직 액세스 제한을 구성할 때는 이그레스 프록시를 구성하는 것입니다. 예를 들어 로그 애널리틱스를 사용할 때 조직 제한을 사용하여 조직에서 저장한 데이터가 외부 데이터와 결합되지 않도록 할 수 있습니다.
자세한 내용은 조직 액세스 제한 구성을 참고하세요.
VPC 서비스 제어
VPC 서비스 제어는 외부 주체 또는 내부 주체의 우발적이거나 표적화된 작업으로부터 보호하고, Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 불필요한 데이터 무단 반출 위험을 최소화하는 데 도움이 됩니다. VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 경계를 만들 수 있습니다.
VPC 서비스 제어 경계는Google Cloud 리소스 주위의 보안 경계입니다. 경계 내에서는 자유롭게 통신할 수 있지만 기본적으로 경계 전체에서 Google Cloud 서비스와의 통신이 차단됩니다. 경계는 서드 파티 API 또는 인터넷의 서비스에 대한 액세스를 차단하지 않습니다.
VPC 서비스 제어 경계를 가상 프라이빗 클라우드 네트워크와 혼동하지 마세요. VPC 서비스 제어 경계는 보안 경계입니다.
자세한 내용은 서비스 경계 설정을 참고하세요.
로그 애널리틱스 쿼리 엔진 선택
로그 애널리틱스를 사용하면 기본 로깅 엔진 또는 BigQuery 엔진에서 SQL 쿼리를 실행할 수 있습니다. 이 섹션에서는 두 옵션의 차이점을 설명합니다.
쿼리 엔진을 설정하려면 로그 애널리틱스 페이지에서 settings 설정 메뉴를 사용합니다.
기본 쿼리 엔진에서 쿼리 실행
기본 쿼리 엔진은 Google Cloud Observability에서 관리합니다. 이 엔진을 사용하면 다음을 쿼리할 수 있습니다.
다음 표에는 Cloud Logging이 ID 및 액세스 관리 (IAM) 역할을 사용하여 저장된 데이터에 대한 액세스를 제어하는 방법이 요약되어 있습니다.
| 로그 애널리틱스에서 쿼리한 소스 | 소스 데이터를 읽는 데 필요한 IAM 역할 |
|---|---|
_Required 로그 버킷에 대한 _AllLogs 보기 |
_Required 로그 버킷을 저장하는 프로젝트에 대한 로그 뷰어 (roles/logging.viewer) |
_Default 로그 버킷에 대한 _AllLogs 보기 |
_Default 로그 버킷을 저장하는 프로젝트에 대한 비공개 로그 뷰어 (roles/logging.privateLogViewer) |
_Default 로그 버킷에 대한 _Default 보기 |
_Default 로그 버킷을 저장하는 프로젝트에 대한 로그 뷰어 (roles/logging.viewer) |
| 커스텀 로그 뷰 (모든 로그 버킷) |
프로젝트의 모든 로그 뷰에 대한 읽기 액세스 권한:프로젝트에 대한 프로젝트의 특정 로그 뷰에 대한 읽기 액세스 권한만 부여하려면 다음 중 하나를 수행합니다.
|
| 분석 뷰 | 다음 모두에 해당:
|
로깅 역할에 대해 자세히 알아보려면 IAM으로 액세스 제어를 참고하세요.
BigQuery 엔진에서 쿼리 실행
BigQuery 엔진은 로그 뷰와 다른 BigQuery 테이블의 조인을 포함하는 쿼리를 실행할 수 있습니다. 하지만 이 엔진을 사용하려면 해당 로그 버킷에 연결된 BigQuery 데이터 세트를 만들어야 합니다. 연결된 데이터 세트는 공유 데이터 세트에 대한 포인터 역할을 하는 읽기 전용 BigQuery 데이터 세트입니다.
로그 버킷에 연결된 데이터 세트를 만들면 BigQuery 서비스를 포함하도록 해당 데이터의 보안 경계가 확장됩니다. 즉, 이제 BigQuery 서비스가 연결된 데이터 세트에 쿼리를 실행하여 로그 데이터를 쿼리할 수 있습니다.
쿼리 엔진을 BigQuery로 설정하면 다음이 참입니다.
연결된 BigQuery 데이터 세트가 연결된 로그 버킷에 있는 경우 로그 뷰를 쿼리할 수 있습니다. 하지만 Log Analytics 서비스는 BigQuery 엔진으로 전송되는 쿼리를 개선합니다. 따라서 BigQuery 메타데이터를 보면 예상과 다를 수 있습니다.
쿼리가 실행되기 전에 BigQuery IAM 권한이 확인됩니다.
BigQuery 엔진에서 실행하는 쿼리에는 BigQuery 가격이 적용됩니다.
다음 표에는 BigQuery 엔진이 IAM을 사용하여 소스 데이터에 대한 액세스를 제어하는 방법이 요약되어 있습니다.
| 로그 애널리틱스에서 쿼리한 소스 | 소스 데이터를 읽는 데 필요한 IAM 역할 |
|---|---|
_Required 로그 버킷에 대한 _AllLogs 보기 |
다음 모두에 해당:
|
_Default 로그 버킷에 대한 _AllLogs 보기 |
다음 모두에 해당:
|
_Default 로그 버킷에 대한 _Default 보기 |
다음 모두에 해당:
|
| 커스텀 로그 뷰 (모든 로그 버킷) |
다음 모두에 해당:
|
| 분석 뷰 | 지원되지 않음. |
| BigQuery 테이블과 조인된 로그 뷰 |
다음 모두에 해당:
|
연결된 BigQuery 데이터 세트에 대한 액세스 권한을 관리하는 방법을 알아보려면 BigQuery 액세스 제어를 참고하세요.