VPC 서비스 제어를 사용하면 Google Cloud 리소스에 대해 서비스 경계를 정의할 수 있어 데이터 보안이 강화됩니다. 이 서비스 경계는 경계 간의 데이터 이동을 제한하여 데이터 무단 반출 위험을 완화합니다.
기본 요건
이 도움말에서는 이전에 다음 작업을 실행했다고 가정합니다.
- Ads Data Hub 계정에 관리자 프로젝트를 지정함
- 서비스 계정을
gcp-sa-adsdatahub.iam.gserviceaccount.com
이 포함된 이메일 주소로 업데이트함. 업데이트하지 않았거나 업데이트해야 할지 확실치 않은 경우 Ads Data Hub 지원팀에 문의하세요. - Ads Data Hub 지원팀에 문의하여 VPC 서비스 제어를 위해 계정을 구성함
VPC 서비스 제어 사용 설정
이전에 VPC 서비스 제어를 설정하지 않은 경우 VPC 서비스 제어 빠른 시작을 참고하세요. 빠른 시작에서는 VPC 서비스 제어의 초기 설정을 안내합니다. 빠른 시작을 완료한 후 다음 안내를 따르세요.
Ads Data Hub 관련 설정
- VPC 서비스 제어 콘솔로 이동하여 기존 서비스 경계를 선택합니다.
- 경계 내에서 보호하려는 프로젝트를 추가합니다. Ads Data Hub에는 관리자 프로젝트 및 입력 또는 출력 데이터에 사용하는 모든 프로젝트를 포함해야 합니다.
- Ads Data Hub 및 BigQuery를 경계 내에서 제한되는 서비스로 추가합니다.
- VPC 서비스 제어에서는 경계에서 모든 서비스를 제한하는 것이 좋습니다.
제한사항
특정 Ads Data Hub 기능(예: 맞춤 잠재고객 활성화, 맞춤 입찰, 사용자 제공 데이터 매칭, LiveRamp 데이터 이동 색인)을 사용하려면 특정 사용자 데이터를 VPC 서비스 제어 경계 외부로 내보내야 합니다. Ads Data Hub를 제한된 서비스로 추가할 경우 기능을 유지하기 위해 이러한 기능의 VPC 서비스 제어 정책을 우회합니다.
모든 종속 서비스는 동일한 VPC 서비스 제어 경계에서 허용되는 서비스로 포함되어야 합니다. 예를 들어 Ads Data Hub는 BigQuery를 사용하므로 BigQuery도 추가해야 합니다. 일반적으로 VPC 서비스 제어 권장사항에 따라 경계에 모든 서비스를 포함하는 것이 좋습니다(즉, '모든 서비스 제한').
Ads Data Hub 계정이 이중인 고객(예: 자회사가 있는 대행사)은 동일한 경계에 있는 모든 관리자 프로젝트를 가지고 있어야 합니다. Ads Data Hub에서는 편의상 이중 계정 구조를 사용하는 고객이 관리 프로젝트를 동일한 Google Cloud 조직으로 제한하도록 권장합니다.