이 페이지는 Cloud Translation API를 통해 번역되었습니다.

T-Systems Sovereign Cloud의 제한사항
컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 주제에서는 T-Systems Sovereign Cloud를 사용할 때의 제한사항, 한도, 기타 구성 옵션을 설명합니다.

개요

T-Systems Sovereign Cloud (TSI Sovereign Cloud)는 범위 내 Google Cloud 서비스에 데이터 상주 및 데이터 주권 기능을 제공합니다. 이러한 기능을 제공하기 위해 이러한 서비스 기능 중 일부는 제한됩니다. 이러한 변경사항의 대부분은 조직이 T-Systems International (TSI)에서 관리하게 되는 온보딩 프로세스 중에 적용되지만 일부는 나중에 조직 정책을 수정하여 변경할 수 있습니다.

이러한 제한사항이 특정 Google Cloud 서비스의 동작을 수정하거나 데이터 주권 또는 데이터 상주에 영향을 미치는 방식을 이해하는 것이 중요합니다. 예를 들어 데이터 주권 및 데이터 상주를 유지하기 위해 일부 기능을 자동으로 사용 중지할 수 있습니다. 또한 조직 정책 설정이 변경되면 한 리전에서 다른 리전으로 데이터를 복사하는 의도하지 않은 결과가 발생할 수 있습니다.

범위 내 서비스 및 API

서비스

Compute Engine
- 조직 정책
- 영향을 받는 기능
Persistent Disk
Cloud Storage
- 조직 정책
Cloud SQL
Cloud Key Management Service (Cloud KMS)
- 조직 정책
Google Kubernetes Engine
- 조직 정책
Cloud Logging
- 영향을 받는 기능

API

TSI Sovereign Cloud에서 사용할 수 있는 API 엔드포인트는 다음과 같습니다.

accessapproval.googleapis.com
accesscontextmanager.googleapis.com
axt.googleapis.com
clientauthconfig.googleapis.com
cloudbilling.googleapis.com
cloudkms.googleapis.com
cloudnotifications.googleapis.com
cloudresourcemanager.googleapis.com
cloudsql.googleapis.com
cloudsupport.googleapis.com
compute.googleapis.com
container.googleapis.com
essentialcontacts.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
orgpolicy.googleapis.com
servicenetworking.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage.googleapis.com
sts.googleapis.com
vpcaccess.googleapis.com

조직 정책

이 섹션에서는 TSI Sovereign Cloud를 사용하여 폴더 또는 프로젝트를 만들 때 각 서비스가 기본 조직 정책 제약조건 값의 영향을 받는 방법을 설명합니다. 적용 가능한 다른 제약조건은 기본적으로 설정되어 있지 않더라도 조직의 Google Cloud 리소스 보안이 강화되도록 '심층 방어' 기능을 추가로 제공할 수 있습니다.

클라우드 전체의 조직 정책 제약조건

다음 조직 정책 제약조건은 적용 가능한 모든 Google Cloud 서비스에 적용됩니다.

조직 정책 제약조건	설명
`gcp.resourceLocations`	`in:tsi-sovereign`을(를) `allowedValues` 목록 항목으로 설정합니다. 이 값은 새 리소스 생성을 TSI 값 그룹으로만 제한합니다. 설정하면 TSI에서 정의한 리전, 멀티 리전 또는 위치 외부에 리소스를 만들 수 없습니다. 자세한 내용은 조직 정책 값 그룹 문서를 참고하세요.
`gcp.restrictNonCmekServices`	다음을 포함한 모든 범위 내 API 서비스 이름 목록으로 설정합니다. `compute.googleapis.com` `container.googleapis.com` `logging.googleapis.com` `sqladmin.googleapis.com` `storage.googleapis.com` 위에 나열된 각 서비스의 기능 중 일부가 영향을 받을 수 있습니다. 아래의 영향을 받는 기능을 참조하세요. 나열된 각 서비스에는 고객 관리 암호화 키(CMEK)가 필요합니다. CMEK를 사용하면 저장 데이터는 Google의 기본 암호화 메커니즘이 아닌 사용자가 관리하는 키로 암호화됩니다. 목록에서 범위 내 서비스를 하나 이상 제거하여 이 값을 변경하면 새로운 저장 데이터가 사용자의 키 대신 Google의 자체 키를 사용하여 자동으로 암호화되므로 데이터 주권이 훼손될 수 있습니다. 기존 저장 데이터는 제공한 키를 통해 암호화 상태로 유지됩니다.
`gcp.restrictCmekCryptoKeyProjects`	TSI Sovereign Cloud 조직인 `under:organizations/your-organization-name`로 설정합니다. 프로젝트 또는 폴더를 지정하여 이 값을 더 제한할 수 있습니다. CMEK를 사용하여 저장 데이터를 암호화하기 위해 KMS 키를 제공할 수 있는 승인된 폴더 또는 프로젝트의 범위를 제한합니다. 이 제약조건은 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 하여 범위 내 서비스의 저장 데이터에 대한 데이터 주권을 보장하는 데 도움이 됩니다.

Compute Engine 조직 정책 제약조건

조직 정책 제약조건	설명
`compute.enableComplianceMemoryProtection`	True로 설정합니다. 인프라 오류 발생 시 메모리 콘텐츠를 추가로 보호하기 위해 일부 내부 진단 기능을 사용 중지합니다. 이 값을 변경하면 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
`compute.disableSerialPortLogging`	True로 설정합니다. 제약조건이 적용되는 폴더 또는 프로젝트의 Compute Engine VM에서 Stackdriver의 직렬 포트 로깅을 사용 중지합니다. 이 값을 변경하면 데이터 상주 또는 데이터 주권에 영향을 미칠 수 있습니다.
`compute.disableInstanceDataAccessApis`	True로 설정합니다. `instances.getSerialPortOutput()` 및 `instances.getScreenshot()` API를 전역적으로 사용 중지합니다.
`compute.restrictNonConfidentialComputing`	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참조하세요.
`compute.trustedImageProjects`	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다.

Cloud Storage 조직 정책 제약조건

조직 정책 제약조건 설명

storage.uniformBucketLevelAccess True로 설정합니다.

새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록(ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다.

이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다.

조직 정책 제약조건	설명
`storage.uniformBucketLevelAccess`	True로 설정합니다. 새 버킷에 대한 액세스는 Cloud Storage 액세스 제어 목록(ACL) 대신 IAM 정책을 사용하여 관리됩니다. 이 제약조건은 버킷 및 콘텐츠에 대해 세분화된 권한을 제공합니다. 이 제약조건이 사용 설정된 상태에서 버킷이 생성되면 이 버킷에 대한 액세스는 ACL을 사용하여 관리할 수 없습니다. 즉, 버킷에 대한 액세스 제어 방법이 Cloud Storage ACL 대신 IAM 정책을 사용하도록 영구 설정됩니다.
`storage.restrictAuthTypes`	해시 기반 메시지 인증 코드(HMAC)를 사용한 인증을 방지하도록 설정합니다. 이 제약 조건 값에는 다음 두 가지 HMAC 유형이 지정됩니다. `USER_ACCOUNT_HMAC_SIGNED_REQUESTS` `SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS` 기본적으로 HMAC 키는 TSI Sovereign Cloud의 워크로드용 Cloud Storage 리소스에 인증할 수 없습니다. HMAC 키는 고객의 알지 못하는 사이에 고객 데이터에 액세스하는 데 사용될 수 있으므로 데이터 주권에 영향을 미칩니다. Cloud Storage 문서의 HMAC 키를 참고하세요. 이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.

storage.restrictAuthTypes

해시 기반 메시지 인증 코드(HMAC)를 사용한 인증을 방지하도록 설정합니다. 이 제약 조건 값에는 다음 두 가지 HMAC 유형이 지정됩니다.

USER_ACCOUNT_HMAC_SIGNED_REQUESTS
SERVICE_ACCOUNT_HMAC_SIGNED_REQUESTS

기본적으로 HMAC 키는 TSI Sovereign Cloud의 워크로드용 Cloud Storage 리소스에 인증할 수 없습니다. HMAC 키는 고객의 알지 못하는 사이에 고객 데이터에 액세스하는 데 사용될 수 있으므로 데이터 주권에 영향을 미칩니다. Cloud Storage 문서의 HMAC 키를 참고하세요.

이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.

Google Kubernetes Engine 조직 정책 제약조건

조직 정책 제약조건	설명
`container.restrictNoncompliantDiagnosticDataAccess`	True로 설정합니다. 워크로드의 주권 제어를 유지하는 데 필요한 커널 문제의 집계 분석을 비활성화하는 데 사용됩니다. 이 값을 변경하면 워크로드의 데이터 주권에 영향을 미칠 수 있습니다. 설정 값을 유지하는 것이 좋습니다.

Cloud Key Management Service 조직 정책 제약조건

조직 정책 제약조건	설명
`cloudkms.allowedProtectionLevels`	`EXTERNAL` 및 `EXTERNAL_VPC`로 설정합니다. 생성될 수 있는 Cloud Key Management Service CryptoKey 유형을 제한하고 `EXTERNAL` 및 `EXTERNAL_VPC` 키 유형만 허용하도록 설정됩니다.

영향을 받는 기능

이 섹션에는 각 서비스의 기능이 TSI Sovereign Cloud의 영향을 받는 방식을 보여줍니다.

Compute Engine의 특징

기능	설명
VM 인스턴스 정지 및 재개	이 기능은 사용 중지되었습니다. VM 인스턴스를 일시정지하고 재개하려면 영구 디스크 스토리지가 필요하며 일시정지된 VM 상태를 저장하는 데 사용되는 영구 디스크 스토리지는 현재 CMEK를 사용하여 암호화할 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 `gcp.restrictNonCmekServices` 조직 정책 제약조건을 참조하세요.
로컬 SSD	이 기능은 사용 중지되었습니다. 로컬 SSD는 현재 CMEK를 사용하여 암호화할 수 없으므로 로컬 SSD로 인스턴스를 만들 수 없습니다. 이 기능을 사용 설정하는 경우 데이터 주권 및 데이터 상주에 미치는 영향을 이해하려면 위 섹션의 `gcp.restrictNonCmekServices` 조직 정책 제약조건을 참조하세요.
직렬 포트 출력 보기	이 기능은 사용 중지되어 프로그래매틱 방식으로 또는 Cloud Logging을 통해 출력을 볼 수 없습니다. 직렬 포트 출력을 사용 설정하려면 `compute.disableSerialPortLogging` 조직 정책 제약조건 값을 False로 변경합니다.
게스트 환경	게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참조하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어를 원하는 고객의 경우 자체 이미지 또는 에이전트를 선별하고 선택적으로 `compute.trustedImageProjects` 조직 정책 제약조건을 사용할 수 있습니다. 자세한 내용은 커스텀 이미지 빌드 주제를 참조하세요.
`instances.getSerialPortOutput()`	이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 직렬 포트 출력을 가져올 수 없습니다. 이 API를 사용 설정하려면 `compute.disableInstanceDataAccessApis` 조직 정책 제약조건 값을 False로 변경합니다. 이 주제의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.
`instances.getScreenshot()`	이 API는 사용 중지되었습니다. 이 API를 사용하여 지정된 인스턴스에서 스크린샷을 가져올 수 없습니다. 이 API를 사용 설정하려면 `compute.disableInstanceDataAccessApis` 조직 정책 제약조건 값을 False로 변경합니다. 이 주제의 안내에 따라 대화형 직렬 포트를 사용 설정하고 사용할 수도 있습니다.

Cloud Logging의 특징

CMEK에 추가 Cloud Logging 구성 필요

고객 관리 암호화 키(CMEK)로 Cloud Logging을 사용하려면 Cloud Logging 문서의 조직에 CMEK 사용 설정 단계를 완료해야 합니다.

영향을 받는 Cloud Logging 기능

특성	설명
로그 싱크	필터에는 고객 데이터가 포함되지 않아야 합니다. 로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요.
실시간 테일링 로그 항목	필터에는 고객 데이터가 포함되지 않아야 합니다. 실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요.
로그 기반 알림	이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 로그 기반 알림을 만들 수 없습니다.
로그 탐색기 쿼리의 단축된 URL	이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리의 단축된 URL을 만들 수 없습니다.
로그 탐색기에 쿼리 저장	이 기능은 사용 중지되었습니다. Google Cloud 콘솔에서는 쿼리를 저장할 수 없습니다.
BigQuery를 사용한 로그 애널리틱스	이 기능은 사용 중지되었습니다. 로그 분석 기능을 사용할 수 없습니다.