VPC 서비스 제어 서비스 경계 내에서 규정 준수 관리자를 사용 설정하는 경우 이그레스 및 인그레스 규칙을 구성해야 합니다.
다음 샘플 인그레스 및 이그레스 규칙은 비즈니스 요구사항에 맞게 조정할 수 있습니다.
제한사항에 대한 자세한 내용은 지원되는 제품 및 제한사항을 참조하세요.
시작하기 전에
조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
조직 또는 폴더에 존재하는 리소스에 액세스할 수 있도록 조직 수준에서 규정 준수 관리자(
roles/cloudsecuritycompliance.admin) 역할을 부여하세요.다음 정보를 알고 있어야 합니다.
Cloud Security Compliance 서비스 에이전트(
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)의 이메일 주소규정 준수 관리자 사용자들의 이메일 주소. 규정 준수 관리자 사용자는 규정 준수 관리자를 관리하거나 감사 등의 활동을 수행하는 사용자입니다.
Cloud Security Compliance 서비스 에이전트가 감사 작업을 완료하기 위해 경계 내에서 필요한 권한을 가지고 있는지 확인합니다. 자세한 내용은 규정 준수 관리자로 환경 감사를 참조하세요.
인그레스 및 이그레스 규칙 추가
다음 인그레스 규칙을 추가합니다.
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" resources: "*"USER_EMAIL_ADDRESS를 규정 준수 관리자 사용자의 이메일 주소로 바꿉니다.
규정 준수 관리자가 Google Cloud 조직 내 리소스를 모니터링하고 감사할 수 있도록 다음 인그레스 규칙을 추가합니다.
- ingressFrom: identities: - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudsecuritycompliance.googleapis.com methodSelectors: - method: "*" resources: "*"USER_EMAIL_ADDRESS를 규정 준수 관리자 사용자의 이메일 주소로 바꿉니다.
프로젝트에 대한 감사를 실행하려면 다음 인그레스 규칙을 구성하세요.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud Security Compliance 서비스 에이전트의 이메일 주소입니다.
폴더에 대한 감사를 실행하려면 다음 인그레스 규칙을 구성하세요.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: "*" resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud Security Compliance 서비스 에이전트의 이메일 주소입니다.
폴더 내의 모든 프로젝트에 포함된 리소스를 감사하려면 광범위한 액세스 권한이 필요합니다.
등록된 Cloud Storage 버킷이 경계 내부에 있는 경우 감사를 실행하려면 다음 인그레스 규칙을 구성하세요.
- ingressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" ingressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud Security Compliance 서비스 에이전트의 이메일 주소입니다.
등록된 Cloud Storage 버킷이 경계 내부에 있는 경우 감사를 실행하려면 다음 이그레스 규칙을 구성하세요.
- egressFrom: identities: - serviceAccount: COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS - user: USER_EMAIL_ADDRESS sources: - accessLevel: "*" egressTo: operations: - serviceName: storage.googleapis.com methodSelectors: - method: google.storage.buckets.getIamPolicy - method: google.storage.buckets.testIamPermissions - method: google.storage.objects.getIamPolicy - method: google.storage.buckets.setIamPolicy - method: google.storage.objects.setIamPolicy - method: google.storage.objects.create - method: google.storage.objects.get resources: "*"다음을 바꿉니다.
USER_EMAIL_ADDRESS: 규정 준수 관리자 사용자의 이메일 주소입니다.
COMPLIANCE_MANAGER_SA_EMAIL_ADDRESS: Cloud Security Compliance 서비스 에이전트의 이메일 주소입니다.
다음 단계
- VPC 서비스 제어 문제 해결 도구 또는 VPC 서비스 제어 위반 분석기를 사용하여 문제를 진단합니다.