서비스 경계 내에서 민감한 정보 검색 허용

이 문서에서는 Sensitive Data Protection이 VPC 서비스 제어 경계에서 데이터를 검색하고 프로파일링하도록 하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하여 민감한 정보 보호에서 스캔하는 프로젝트의 서비스를 제한하는 경우 이 문서의 작업을 실행하세요.

자세한 내용은 민감한 정보 탐색 개요를 참고하세요.

VPC 서비스 제어의 민감한 정보 보호 지원에 대한 자세한 내용은 VPC 서비스 제어 문서의 지원되는 제품 표를 참고하세요.

시작하기 전에

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택을 클릭한 후 역할을 검색합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

    8. VPC 서비스 제어 내에서 민감한 데이터 감지 구성

    다음 아키텍처 접근 방식 중 하나를 사용하여 VPC 서비스 제어 경계 내에서 민감한 정보 보호 검색을 구성할 수 있습니다.

    옵션 1: 스캔할 데이터와 동일한 경계에 있는 모든 필수 리소스

    탐색 작업과 관련된 모든 구성요소가 동일한 경계 내에 있는지 확인합니다. 즉, 이러한 구성요소는 모두 동일한 경계에 있어야 합니다.

    VPC 서비스 제어 경계가 여러 개인 경우 각 경계 내에 전용 구성요소를 만듭니다.

    이 옵션을 선택하면 민감한 정보 검색을 위한 인그레스 및 이그레스 규칙을 만들지 않아도 됩니다.

    옵션 2: 인그레스 및 이그레스 규칙을 사용한 중앙 집중식 검색 구성

    전체 조직 또는 여러 경계에 걸쳐 있는 여러 프로젝트에 대해 중앙 집중식 검색 스캔 구성을 만듭니다.

    이 중앙 집중식 검색 스캔 구성이 스캔할 데이터와 동일한 경계 내에 없는 경우 인그레스 및 이그레스 규칙을 만드세요.

    인그레스 및 이그레스 규칙 만들기

    옵션 2를 선택하고 스캔할 데이터가 중앙 집중식 검색 스캔 구성과 다른 경계에 있는 경우 이러한 수신 및 송신 규칙을 만듭니다.

    자세한 내용은 VPC 서비스 제어 문서의 서비스 경계에 대한 인그레스 및 이그레스 정책 업데이트를 참고하세요.

    인그레스 및 이그레스 규칙을 정의하려면 다음 중 하나 또는 둘 다를 사용하면 됩니다.

    • 중앙 집중식 탐색 스캔 구성에 지정된 서비스 에이전트 ID
    • 중앙 집중식 검색 스캔 구성이 포함된 프로젝트

    인그레스 규칙

    검사할 데이터가 포함된 각 경계에 대해 수신 정책을 업데이트하여 민감한 정보 검색 작업을 위한 수신 규칙을 추가합니다.

    • 서비스 에이전트 ID를 사용하려면 From 섹션에서 IdentitiesSelect identities & groups로 설정합니다. 중앙화된 검색 스캔 구성에 지정된 서비스 에이전트 ID를 추가하고 선택합니다. 서비스 에이전트 ID의 형식은 다음과 같습니다.

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER를 서비스 에이전트 컨테이너의 숫자 식별자로 바꿉니다.

    • 프로젝트를 사용하려면 보낸 사람 섹션에서 소스를 중앙 집중식 검색 스캔 구성이 포함된 프로젝트로 설정합니다.

    다음 예에서는 서비스 에이전트 ID와 프로젝트를 모두 사용하여 수신 규칙을 정의합니다.

    서비스 에이전트 ID와 프로젝트가 모두 설정된 인그레스 규칙

    이그레스 규칙

    검사할 데이터가 포함된 각 경계에 대해 이그레스 정책을 업데이트하여 민감한 정보 검색 작업을 위한 이그레스 규칙을 추가합니다.

    • 서비스 에이전트 ID를 사용하려면 From 섹션에서 IdentitiesSelect identities & groups로 설정합니다. 중앙화된 검색 스캔 구성에 지정된 서비스 에이전트 ID를 추가하고 선택합니다. 서비스 에이전트 ID의 형식은 다음과 같습니다.

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER를 서비스 에이전트 컨테이너의 숫자 식별자로 바꿉니다.

    • 프로젝트를 사용하려면 받는 사람 섹션에서 리소스프로젝트 선택으로 설정합니다. 중앙 집중식 탐색 스캔 구성이 포함된 프로젝트를 추가하고 선택합니다.

    다음 예에서는 서비스 에이전트 ID와 프로젝트를 모두 사용하여 이그레스 규칙을 정의합니다.

    서비스 에이전트 ID와 프로젝트가 모두 설정된 이그레스 규칙