VPC 서비스 제어 서비스 경계 내에서 Compliance Manager를 사용 설정하는 경우 이그레스 및 인그레스 규칙을 구성해야 합니다.
비즈니스 요구사항에 맞게 다음 샘플 인그레스 및 이그레스 규칙을 조정할 수 있습니다.
제한사항에 대한 자세한 내용은 지원되는 제품 및 제한사항을 참고하세요.
시작하기 전에
조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
조직 또는 폴더에 있는 리소스에 대한 액세스를 보장하려면 조직 수준에서 규정 준수 관리자 관리자 (
roles/cloudsecuritycompliance.admin) 역할을 부여하세요.다음 사항을 알고 있어야 합니다.
Cloud 보안 규정 준수 서비스 에이전트(
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)의 이메일 주소입니다.규정 준수 관리자 사용자의 이메일 주소입니다. 규정 준수 관리자 사용자는 규정 준수 관리자를 관리하고 감사와 같은 활동을 수행하는 사용자입니다.
Cloud Security Compliance 서비스 에이전트가 감사 완료에 필요한 권한을 경계 내에 가지고 있는지 확인합니다. 자세한 내용은 규정 준수 관리자로 환경 감사를 참고하세요.
인그레스 및 이그레스 규칙 추가
다음 인그레스 규칙을 추가합니다.
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"USER_EMAIL_ADDRESS을 규정 준수 관리자 사용자의 이메일 주소로 바꿉니다.
규정 준수 관리자가 Google Cloud 조직의 리소스를 모니터링하고 감사할 수 있도록 다음 수신 규칙을 추가합니다.
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" resources: "*"USER_EMAIL_ADDRESS을 규정 준수 관리자 사용자의 이메일 주소로 바꿉니다.
프로젝트 감사를 실행하려면 다음 인그레스 규칙을 구성하세요.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud 보안 규정 준수 서비스 에이전트의 이메일 주소입니다.
폴더에 대한 감사를 실행하도록 다음 인그레스 규칙을 구성합니다.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud 보안 규정 준수 서비스 에이전트의 이메일 주소입니다.
폴더 내 프로젝트의 모든 리소스에 대한 감사를 허용하려면 광범위한 액세스 권한이 필요합니다.
등록된 Cloud Storage 버킷이 경계 내부에 있을 때 감사를 실행하도록 다음 인그레스 규칙을 구성합니다.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud 보안 규정 준수 서비스 에이전트의 이메일 주소입니다.
등록된 Cloud Storage 버킷이 경계 내부에 있을 때 감사를 실행하도록 다음 이그레스 규칙을 구성합니다.
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud 보안 규정 준수 서비스 에이전트의 이메일 주소입니다.
다음 단계
- VPC 서비스 제어 문제 해결 도구 또는 VPC 서비스 제어 위반 분석기를 사용하여 문제를 진단합니다.