Looker(Google Cloud 핵심 서비스)의 VPC 서비스 제어 지원

VPC 서비스 제어를 사용하면 Google Cloud 서비스에서 데이터 무단 반출 위험을 완화하는 기능을 개선할 수 있습니다. VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 서비스 경계를 만들 수 있습니다.

VPC 서비스 제어 서비스 경계에 Looker(Google Cloud 핵심 서비스) 서비스를 추가하려면 서비스 경계 만들기 문서 페이지에서 서비스 경계를 만드는 방법에 대한 안내에 따라 제한할 서비스 지정 대화상자에서 Looker(Google Cloud 핵심 서비스) API를 선택합니다. VPC 서비스 제어 사용에 대해 자세히 알아보려면 VPC 서비스 제어 개요 문서 페이지를 참고하세요.

VPC 서비스 제어는 다음 2가지 기준을 충족하는 Looker(Google Cloud 핵심 서비스) 인스턴스를 지원합니다.

필요한 역할

VPC 서비스 제어를 설정하는 데 필요한 IAM 역할을 이해하려면 VPC 서비스 제어 문서의 IAM으로 액세스 제어 페이지를 참고하세요.

기본 경로 삭제

Looker(Google Cloud 핵심 서비스) 인스턴스가 VPC 서비스 제어 경계 내에 있는 Google Cloud 프로젝트 내에 있거나 VPC 서비스 제어 경계에 추가되는 프로젝트 내에 있는 경우 인터넷으로의 기본 경로를 삭제해야 합니다.

인터넷에 대한 기본 경로를 삭제하려면 다음 옵션 중 하나를 선택합니다.

gcloud

gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com

NETWORK를 Looker(Google Cloud 핵심 서비스) 인스턴스의 VPC 네트워크로 바꿉니다.

자세한 내용은 gcloud services vpc-peerings enable-vpc-service-controls 문서 페이지를 참조하세요.

REST

HTTP 메서드 및 URL:

PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls

JSON 요청 본문:

{
"consumerNetwork": NETWORK
}

NETWORK를 Looker(Google Cloud 핵심 서비스) 인스턴스의 VPC 네트워크로 바꿉니다.

자세한 내용은 메서드: services.enableVpcServiceControls 문서 페이지를 참조하세요.

VPC 서비스 제어 경계 외부의 리소스 또는 서비스에 연결

다른 Google Cloud 리소스 또는 서비스에 연결하려면 리소스가 있는 프로젝트가 VPC 서비스 제어 경계 외부에 있는 경우 인그레스 및 이그레스 규칙을 설정해야 할 수 있습니다.

다른 외부 리소스에 액세스하는 방법에 대한 자세한 내용은 Looker(Google Cloud 핵심 서비스)를 사용한 비공개 IP 네트워킹 문서 페이지에서 연결하려는 리소스 유형에 대한 안내를 따르세요.

경계에 CMEK 키 추가

경우에 따라 고객 관리 암호화 키(CMEK)가 사용 설정된 Looker(Google Cloud 핵심 서비스) 인스턴스에는 다른 Google Cloud 프로젝트에서 호스팅되는 Cloud KMS 키가 있습니다. 이 시나리오에서는 VPC 서비스 제어를 사용 설정할 경우 KMS 키 호스팅 프로젝트를 보안 경계에 추가해야 합니다.

다음 단계