이 문서에서는 Sensitive Data Protection이 VPC 서비스 제어 경계에서 데이터를 검색하고 프로파일링하도록 허용하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하여 Sensitive Data Protection이 스캔하는 프로젝트의 서비스를 제한하는 경우 이 문서의 작업을 수행하세요.
자세한 내용은 민감한 정보 검색 개요를 참조하세요.
Sensitive Data Protection에 대한 VPC 서비스 제어 지원에 대한 자세한 내용은 지원되는 제품 표의 VPC 서비스 제어 문서를 참조하세요.
시작하기 전에
조직에 액세스 컨텍스트 관리자 편집자(roles/accesscontextmanager.policyEditor) 역할이 있는지 확인합니다.
역할 확인
-
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM으로 이동 - 조직을 선택합니다.
-
주 구성원 열에서 나 또는 내가 속한 그룹을 식별하는 모든 행을 찾습니다. 내가 속한 그룹을 알아보려면 관리자에게 문의하세요.
- 나를 지정하거나 포함하는 모든 행에서 역할 열을 확인하여 역할 목록에 필요한 역할이 포함되어 있는지 확인합니다.
역할 부여
-
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
IAM으로 이동 - 조직을 선택합니다.
- 액세스 권한 부여 를 클릭합니다.
-
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
- 역할 선택을 클릭한 후 역할을 검색합니다.
- 역할을 추가로 부여하려면 다른 역할 추가 를 클릭하고 각 역할을 추가합니다.
- 저장 을 클릭합니다.
VPC 서비스 제어 내에서 민감한 정보 검색 구성
다음 아키텍처 접근 방식 중 하나를 사용하여 VPC 서비스 제어 경계 내에서 Sensitive Data Protection 검색을 구성할 수 있습니다.
옵션 1: 스캔할 데이터와 동일한 경계에 필요한 모든 리소스
검색 작업과 관련된 모든 구성요소가 동일한 경계 내에 있는지 확인합니다. 즉, 이러한 구성요소는 모두 동일한 경계에 있어야 합니다.
- 스캔할 프로젝트
- 검색 스캔 구성
- 검색 스캔 구성에 지정된 서비스 에이전트
- 서비스 에이전트를 호스팅하는 서비스 에이전트 컨테이너 (일명 드라이버 프로젝트)
- 검색 스캔 구성에 지정된 검사 템플릿
VPC 서비스 제어 경계가 여러 개 있는 경우 각 경계 내에 전용 구성요소를 만듭니다.
이 옵션을 선택하면 민감한 정보 검색을 위한 인그레스 및 이그레스 규칙을 만들 필요가 없습니다.
옵션 2: 인그레스 및 이그레스 규칙이 있는 중앙 집중식 검색 구성
전체 조직 또는 여러 경계의 여러 프로젝트에 대한 중앙 집중식 검색 스캔 구성을 만듭니다.
이 중앙 집중식 검색 스캔 구성이 스캔할 데이터와 동일한 경계 내에 없는 경우 인그레스 및 이그레스 규칙을 만듭니다.
인그레스 및 이그레스 규칙 만들기
옵션 2를 선택하고 스캔할 데이터가 중앙 집중식 검색 스캔 구성과 다른 경계에 있는 경우 이러한 인그레스 및 이그레스 규칙을 만듭니다.
자세한 내용은 VPC 서비스 제어 문서의 서비스 경계에 대한 인그레스 및 이그레스 정책 업데이트를 참조하세요.
인그레스 및 이그레스 규칙을 정의하려면 다음 중 하나 또는 둘 다를 사용하면 됩니다.
- 중앙 집중식 검색 스캔 구성에 지정된 서비스 에이전트 ID
- 중앙 집중식 검색 스캔 구성이 포함된 프로젝트
인그레스 규칙
스캔할 데이터가 포함된 각 경계에 대해 인그레스 정책 을 업데이트하여 민감한 정보 검색 작업의 인그레스 규칙을 추가합니다.
서비스 에이전트 ID를 사용하려면 From 섹션에서 ID 를 ID 및 그룹 선택 으로 설정합니다. 중앙 집중식 검색 스캔 구성에 지정된 서비스 에이전트 ID를 추가하고 선택합니다. 서비스 에이전트 ID의 형식은 다음과 같습니다.
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.comPROJECT_NUMBER를 서비스 에이전트 컨테이너의 숫자 식별자로 바꿉니다.프로젝트를 사용하려면 From 섹션에서 소스 를 중앙 집중식 검색 스캔 구성이 포함된 프로젝트로 설정합니다.
다음 예시에서는 서비스 에이전트 ID와 프로젝트를 모두 사용하여 인그레스 규칙을 정의합니다.
이그레스 규칙
스캔할 데이터가 포함된 각 경계에 대해 이그레스 정책 을 업데이트하여 민감한 정보 검색 작업의 이그레스 규칙을 추가합니다.
서비스 에이전트 ID를 사용하려면 From 섹션에서 ID 를 ID 및 그룹 선택 으로 설정합니다. 중앙 집중식 검색 스캔 구성에 지정된 서비스 에이전트 ID를 추가하고 선택합니다. 서비스 에이전트 ID의 형식은 다음과 같습니다.
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.comPROJECT_NUMBER를 서비스 에이전트 컨테이너의 숫자 식별자로 바꿉니다.프로젝트를 사용하려면 To 섹션에서 리소스 를 프로젝트 선택 으로 설정합니다. 중앙 집중식 검색 스캔 구성이 포함된 프로젝트를 추가하고 선택합니다.
다음 예시에서는 서비스 에이전트 ID와 프로젝트를 모두 사용하여 이그레스 규칙을 정의합니다.
