이 페이지는 Cloud Translation API를 통해 번역되었습니다.

미국 데이터 경계 및 지원

이 페이지에서는 Assured Workloads의 미국 데이터 경계 및 지원 워크로드에 적용되는 제어 세트를 설명합니다. 데이터 상주, 지원되는 Google Cloud 제품 및 해당 API 엔드포인트, 해당 제품에 적용되는 제한사항 또는 제한에 관한 세부정보를 제공합니다. 미국 데이터 경계 및 지원에는 다음 추가 정보가 적용됩니다.

데이터 상주: 미국 데이터 경계 및 지원 제어 패키지는 미국 전용 리전을 지원하도록 데이터 위치 제어를 설정합니다. 자세한 내용은 Google Cloud전체 조직 정책 제약 조건 섹션을 참고하세요.
지원: 미국 데이터 경계 및 지원 워크로드에 대한 기술 지원 서비스는 향상된 또는 프리미엄 Cloud Customer Care 구독을 통해 제공됩니다. 미국 데이터 경계 및 지원 워크로드 지원 케이스는 미국 내 미국인에게 라우팅됩니다. 자세한 내용은 지원 받기를 참고하세요.
가격: 미국 데이터 경계 및 지원 제어 패키지는 Assured Workloads의 프리미엄 등급에 포함되어 있으며, 이 경우 5% 의 추가 요금이 부과됩니다. 자세한 내용은 Assured Workloads 가격을 참고하세요.

지원되는 제품 및 API 엔드포인트

달리 명시되지 않는 한 사용자는 Google Cloud 콘솔을 통해 지원되는 모든 제품에 액세스할 수 있습니다. 조직 정책 제약조건 설정을 통해 적용되는 제한사항을 비롯하여 지원되는 제품의 기능에 영향을 미치는 제한사항은 다음 표에 나열되어 있습니다.

제품이 나열되지 않은 경우 해당 제품은 지원되지 않으며 미국 데이터 경계 및 지원에 대한 제어 요구사항을 충족하지 않은 것입니다. 지원되지 않는 제품은 실사를 거치고 공유 책임 모델에서 자신의 책임을 철저히 이해하지 않고는 사용하지 않는 것이 좋습니다. 지원되지 않는 제품을 사용하기 전에 데이터 상주 또는 데이터 주권에 미치는 부정적인 영향과 같은 관련 위험을 인지하고 수용할 수 있는지 확인하세요.

지원되는 제품	API 엔드포인트	제한 또는 한도
액세스 승인	`accessapproval.googleapis.com`	없음
Access Context Manager	`accesscontextmanager.googleapis.com`	없음
액세스 투명성	`accessapproval.googleapis.com`	없음
PostgreSQL용 AlloyDB	`alloydb.googleapis.com`	없음
Cloud Service Mesh	`mesh.googleapis.com` `meshca.googleapis.com` `meshconfig.googleapis.com`	없음
Apigee	`apigee.googleapis.com`	없음
Artifact Registry	`artifactregistry.googleapis.com`	없음
Backup for GKE	`gkebackup.googleapis.com`	없음
BigQuery	`bigquery.googleapis.com` `bigqueryconnection.googleapis.com` `bigquerydatapolicy.googleapis.com` `bigquerydatatransfer.googleapis.com` `bigquerymigration.googleapis.com` `bigqueryreservation.googleapis.com` `bigquerystorage.googleapis.com`	영향을 받는 기능
Bigtable	`bigtable.googleapis.com` `bigtableadmin.googleapis.com`	없음
Binary Authorization	`binaryauthorization.googleapis.com`	없음
Certificate Authority Service	`privateca.googleapis.com`	없음
Cloud 애셋 인벤토리	`cloudasset.googleapis.com`	없음
Cloud Build	`cloudbuild.googleapis.com`	없음
Cloud Composer	`composer.googleapis.com`	없음
Cloud DNS	`dns.googleapis.com`	없음
Cloud Data Fusion	`datafusion.googleapis.com`	없음
Cloud 외부 키 관리자(Cloud EKM)	`cloudkms.googleapis.com`	없음
Cloud HSM	`cloudkms.googleapis.com`	없음
Cloud Interconnect	`compute.googleapis.com`	없음
Cloud Key Management Service(Cloud KMS)	`cloudkms.googleapis.com`	없음
Cloud Load Balancing	`compute.googleapis.com`	없음
Cloud Logging	`logging.googleapis.com`	영향을 받는 기능
Cloud Monitoring	`monitoring.googleapis.com`	없음
Cloud NAT	`compute.googleapis.com`	없음
Cloud OS Login API	`oslogin.googleapis.com`	없음
Cloud Router	`compute.googleapis.com`	없음
Cloud Run	`run.googleapis.com`	영향을 받는 기능
Cloud Run Functions	`run.googleapis.com`	없음
Cloud SQL	`sqladmin.googleapis.com`	없음
PostgreSQL용 Cloud SQL	`sqladmin.googleapis.com`	없음
Cloud Storage	`storage.googleapis.com`	없음
Cloud Tasks	`cloudtasks.googleapis.com`	없음
Cloud VPN	`compute.googleapis.com`	없음
Cloud Vision API	`vision.googleapis.com`	없음
Cloud Workstations	`workstations.googleapis.com`	없음
Compute Engine	`compute.googleapis.com`	영향을 받는 기능 및 조직 정책 제약조건
구성 동기화	`anthosconfigmanagement.googleapis.com`	없음
Connect	`gkeconnect.googleapis.com`	없음
Sensitive Data Protection	`dlp.googleapis.com`	없음
데이터베이스 센터	`Not applicable`	없음
Dataflow	`dataflow.googleapis.com` `datapipelines.googleapis.com`	없음
Dataform	`dataform.googleapis.com`	없음
Dataplex 범용 카탈로그	`dataplex.googleapis.com` `datalineage.googleapis.com`	없음
Dataproc	`dataproc-control.googleapis.com` `dataproc.googleapis.com`	없음
Document AI	`documentai.googleapis.com`	없음
필수 연락처	`essentialcontacts.googleapis.com`	없음
Eventarc	`eventarc.googleapis.com`	없음
Filestore	`file.googleapis.com`	없음
Firebase 보안 규칙	`firebaserules.googleapis.com`	없음
Firestore	`firestore.googleapis.com`	없음
GKE 허브	`gkehub.googleapis.com`	없음
GKE Identity Service	`anthosidentityservice.googleapis.com`	없음
Vertex AI의 생성형 AI	`aiplatform.googleapis.com`	없음
Google Agentspace	`discoveryengine.googleapis.com`	없음
Google Cloud Armor	`compute.googleapis.com` `networksecurity.googleapis.com`	영향을 받는 기능
Google Cloud NetApp Volumes	`netapp.googleapis.com`	영향을 받는 기능
Google Kubernetes Engine(GKE)	`container.googleapis.com` `containersecurity.googleapis.com`	없음
Google Security Operations SIEM	`chronicle.googleapis.com` `chronicleservicemanager.googleapis.com`	없음
Google Security Operations SOAR	`Not applicable`	없음
Identity and Access Management(IAM)	`iam.googleapis.com`	없음
IAP(Identity-Aware Proxy)	`iap.googleapis.com`	없음
Infrastructure Manager	`config.googleapis.com`	없음
Looker(Google Cloud 핵심 서비스)	`looker.googleapis.com`	없음
Memorystore for Redis	`redis.googleapis.com`	없음
Model Armor	`modelarmor.googleapis.com`	없음
Network Connectivity Center	`networkconnectivity.googleapis.com`	없음
조직 정책 서비스	`orgpolicy.googleapis.com`	없음
Persistent Disk	`compute.googleapis.com`	없음
Personalized Service Health	`servicehealth.googleapis.com`	없음
Pub/Sub	`pubsub.googleapis.com`	없음
Resource Manager	`cloudresourcemanager.googleapis.com`	없음
Secret Manager	`secretmanager.googleapis.com`	없음
Secure Source Manager	`securesourcemanager.googleapis.com`	없음
서버리스 VPC 액세스	`vpcaccess.googleapis.com`	없음
Spanner	`spanner.googleapis.com`	없음
Speech-to-Text	`speech.googleapis.com`	없음
Storage Transfer Service	`storagetransfer.googleapis.com`	없음
Text-to-Speech	`texttospeech.googleapis.com`	없음
Cloud Service Mesh	`trafficdirector.googleapis.com`	없음
VPC 서비스 제어	`accesscontextmanager.googleapis.com`	없음
Vertex AI 일괄 예측	`aiplatform.googleapis.com`	없음
Vertex AI Model Monitoring	`aiplatform.googleapis.com`	없음
Vertex AI Model Registry	`aiplatform.googleapis.com`	없음
Vertex AI 온라인 예측	`aiplatform.googleapis.com`	없음
Vertex AI Pipelines	`aiplatform.googleapis.com`	없음
Vertex AI Search	`discoveryengine.googleapis.com`	없음
Vertex AI Training	`aiplatform.googleapis.com`	없음
Virtual Private Cloud(VPC)	`compute.googleapis.com`	없음
Web Risk	`webrisk.googleapis.com`	없음

제한 및 한도

다음 섹션에서는 Google Cloud-wide 또는 제품 특정의 기능 제한 또는 한도에 대해 설명합니다. 여기에는 미국 데이터 경계 및 지원 폴더에 기본적으로 설정된 모든 조직 정책 제약 조건이 포함됩니다. 적용 가능한 다른 조직 정책 제약조건은 기본적으로 설정되어 있지 않더라도 조직의 Google Cloud 리소스를 추가로 보호하기 위해 심층 방어 기능을 추가로 제공할 수 있습니다.

Google Cloud와이드

Google Cloud전체 조직 정책 제약조건

다음 조직 정책 제약 조건은 Google Cloud에 적용됩니다.

조직 정책 제약조건	설명
`gcp.resourceLocations`	`allowedValues` 목록의 다음 위치로 설정합니다. `us-central1` `us-central2` `us-east4` `us-east1` `us-west1` `us-west4` `us-west3` `us-west2` `us-south1` `us-east5` 이 값은 새 리소스 생성을 선택한 값으로 제한합니다. 설정하면 선택 위치 외부의 다른 리전, 멀티 리전 또는 위치에 리소스를 만들 수 없습니다. 일부 리소스는 범위에서 벗어나 제한할 수 없으므로 리소스 위치 조직 정책 제약 조건으로 제한할 수 있는 리소스 목록은 리소스 위치 지원 서비스를 참고하세요. 이 값을 덜 제한적인 값으로 변경하면 데이터가 규정을 준수하는 데이터 경계 외부에서 생성되거나 저장될 수 있으므로 데이터 상주를 훼손할 수 있습니다.
`gcp.restrictServiceUsage`	모든 지원되는 제품 및 API 엔드포인트를 허용하도록 설정합니다. 런타임 액세스를 리소스로 제한하여 사용할 수 있는 서비스를 결정합니다. 자세한 내용은 리소스 사용량 제한을 참고하세요.
`gcp.restrictTLSVersion`	다음 TLS 버전을 거부하도록 설정합니다. `TLS_1_0` `TLS_1_1` 자세한 내용은 TLS 버전 제한을 참고하세요.

BigQuery

영향을 받는 BigQuery 기능

기능	설명
새 폴더에서 BigQuery 사용 설정	BigQuery가 지원되지만 내부 구성 프로세스로 인해 새 Assured Workloads 폴더를 만들 때 자동으로 사용 설정되지 않습니다. 일반적으로 이 프로세스는 10분 내에 완료되지만 상황에 따 더 오래 걸릴 수 있습니다. 프로세스가 완료되었는지 확인하고 BigQuery를 사용 설정하려면 다음 단계를 수행합니다. Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다. Assured Workloads로 이동 목록에서 새 Assured Workloads 폴더를 선택합니다. 허용된 서비스 섹션의 폴더 세부정보 페이지에서 사용 가능한 업데이트 검토를 클릭합니다. 허용된 서비스 창에서 폴더에 대해 리소스 사용량 제한 조직 정책에 추가할 서비스를 검토합니다. BigQuery 서비스가 나열되면 서비스 허용을 클릭하여 추가합니다. BigQuery 서비스가 나열되지 않았으면 내부 프로세스가 완료될 때까지 기다립니다. 폴더를 만든 지 12시간 내에 서비스가 나열되지 않으면 Cloud Customer Care에 문의하세요. 사용 설정 프로세스가 완료되면 Assured Workloads 폴더에서 BigQuery를 사용할 수 있습니다. BigQuery의 Gemini는 Assured Workloads에서 지원되지 않습니다.
지원되지 않는 기능	다음 BigQuery 기능은 지원되지 않으며 BigQuery CLI에서 사용해서는 안 됩니다. Assured Workloads의 경우 BigQuery에서 해당 기능을 사용하지 않아야 합니다. 원격 데이터 소스와의 상호작용 외부에서 학습된 BQML 모델은 지원되지 않습니다. 내부에서 학습된 BQML 모델은 지원됩니다. 동적 데이터 마스킹 GDrive 내보내기 원격 함수 저장된 쿼리 워크플로 예약 BigQuery Studio에서는 노트북이 지원되지 않습니다. BigQuery의 Gemini는 지원되지 않습니다.
BigQuery CLI	BigQuery CLI가 지원됩니다.
Google Cloud SDK	기술 데이터에 대한 데이터 지역화 보장을 유지하려면 Google Cloud SDK 버전 403.0.0 이상을 사용해야 합니다. 현재 Google Cloud SDK 버전을 확인하려면 `gcloud --version`을 실행한 다음 `gcloud components update`을 실행하여 최신 버전으로 업데이트합니다.
관리자 제어 기능	BigQuery는 지원되지 않는 API를 사용 중지하지만 Assured Workloads 폴더 생성 권한이 충분한 관리자가 지원되지 않는 API를 사용 설정할 수 있습니다. 이 경우 Assured Workloads 모니터링 대시보드를 통해 잠재적인 규정 미준수 알림이 표시됩니다.
데이터 로드	Google Software as a Service (SaaS) 앱, 외부 클라우드 스토리지 제공업체, 데이터 웨어하우스용 BigQuery Data Transfer Service 커넥터는 지원되지 않습니다. 미국 데이터 경계 및 지원 워크로드에 BigQuery Data Transfer Service 커넥터를 사용하지 않는 것은 고객의 책임입니다.
타사 전송	BigQuery는 BigQuery Data Transfer Service의 서드 파티 전송 지원을 확인하지 않습니다. BigQuery Data Transfer Service의 타사 전송을 사용할 때는 지원되는지 확인해야 합니다.
규정 미준수 BQML 모델	외부에서 학습된 BQML 모델은 지원되지 않습니다.
쿼리 작업	쿼리 작업은 Assured Workloads 폴더 내에서만 만들어야 합니다.
다른 프로젝트의 데이터 세트 쿼리	BigQuery는 Assured Workloads 데이터 세트가 비Assured Workloads 프로젝트에서 쿼리되는 것을 방지하지 않습니다. Assured Workloads 데이터에 대한 읽기 또는 조인이 있는 모든 쿼리는 Assured Workloads 폴더에 배치되어야 합니다. BigQuery CLI에서 `projectname.dataset.table`을 사용하여 쿼리 결과에 대한 정규화된 테이블 이름을 지정할 수 있습니다.
Cloud Logging	BigQuery는 일부 로그 데이터에 대해 Cloud Logging을 활용합니다. 규정 준수를 유지하려면 `_default` 로깅 버킷을 사용 중지하거나 다음 명령어를 사용하여 `_default` 버킷을 범위 내 리전으로 제한해야 합니다. `gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink` 자세한 내용은 로그 리전화를 참고하세요.

Compute Engine

영향을 받는 Compute Engine 기능

기능 설명

게스트 환경 게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참고하세요.

이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 compute.trustedImageProjects 조직 정책 제약조건을 사용할 수 있습니다.

자세한 내용은 커스텀 이미지 빌드 페이지를 참고하세요.

VM Manager의 OS 정책 OS 정책 파일 내의 인라인 스크립트와 바이너리 출력 파일은 고객 관리 암호화 키 (CMEK)를 사용하여 암호화되지 않습니다. 따라서 이러한 파일에 민감한 정보를 포함하지 마세요. 또는 이러한 스크립트와 출력 파일을 Cloud Storage 버킷에 저장하는 것이 좋습니다. 자세한 내용은 OS 정책 예시를 참고하세요.

인라인 스크립트 또는 바이너리 출력 파일을 사용하는 OS 정책 리소스의 생성 또는 수정을 제한하려면 constraints/osconfig.restrictInlineScriptAndOutputFileUsage 조직 정책 제약 조건을 사용 설정하세요.

자세한 내용은 OS 구성 제약 조건을 참고하세요.

기능	설명
게스트 환경	게스트 환경에 포함된 스크립트, 데몬, 바이너리가 암호화되지 않은 저장 데이터 및 사용 중인 데이터에 액세스할 수 있습니다. VM 구성에 따라 이 소프트웨어의 업데이트가 기본적으로 설치될 수 있습니다. 각 패키지의 콘텐츠, 소스 코드 등에 대한 자세한 내용은 게스트 환경을 참고하세요. 이러한 구성요소는 내부 보안 제어 및 프로세스를 통해 데이터 주권을 충족하는 데 도움이 됩니다. 하지만 추가 제어가 필요한 경우에는 자체 이미지 또는 에이전트를 조정하고 선택적으로 `compute.trustedImageProjects` 조직 정책 제약조건을 사용할 수 있습니다. 자세한 내용은 커스텀 이미지 빌드 페이지를 참고하세요.
VM Manager의 OS 정책	OS 정책 파일 내의 인라인 스크립트와 바이너리 출력 파일은 고객 관리 암호화 키 (CMEK)를 사용하여 암호화되지 않습니다. 따라서 이러한 파일에 민감한 정보를 포함하지 마세요. 또는 이러한 스크립트와 출력 파일을 Cloud Storage 버킷에 저장하는 것이 좋습니다. 자세한 내용은 OS 정책 예시를 참고하세요. 인라인 스크립트 또는 바이너리 출력 파일을 사용하는 OS 정책 리소스의 생성 또는 수정을 제한하려면 `constraints/osconfig.restrictInlineScriptAndOutputFileUsage` 조직 정책 제약 조건을 사용 설정하세요. 자세한 내용은 OS 구성 제약 조건을 참고하세요.

Compute Engine 조직 정책 제약조건

조직 정책 제약조건	설명
`compute.disableGlobalCloudArmorPolicy`	True로 설정합니다. 새 전역 Google Cloud Armor 보안 정책의 생성과 기존 전역 Google Cloud Armor 보안 정책에 규칙을 추가하거나 수정하는 것을 사용 중지합니다. 이 제약 조건은 규칙의 삭제 또는 전역 Google Cloud Armor 보안 정책의 설명 및 목록을 삭제하거나 변경하는 기능을 제한하지 않습니다. 리전 Google Cloud Armor 보안 정책은 이 제약 조건의 영향을 받지 않습니다. 이 제약 조건이 적용되기 전에 이미 있던 모든 전역 및 리전 보안 정책은 계속 유효합니다.
`compute.restrictNonConfidentialComputing`	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 자세한 내용은 컨피덴셜 VM 문서를 참고하세요.
`compute.trustedImageProjects`	(선택사항) 값이 설정되지 않았습니다. 추가 심층 방어를 제공하도록 이 값을 설정합니다. 이 값을 설정하면 지정된 프로젝트 목록에 대한 이미지 저장 및 디스크 인스턴스화가 제한됩니다. 이 값은 승인되지 않은 이미지 또는 에이전트의 사용을 방지하여 데이터 주권에 영향을 줍니다.

Cloud Logging

영향을 받는 Cloud Logging 기능

기능	설명
로그 싱크	필터에는 고객 데이터가 포함되지 않아야 합니다. 로그 싱크에는 구성으로 저장되는 필터가 포함됩니다. 고객 데이터가 포함된 필터를 만들지 마세요.
로그 항목 실시간 테일링	필터에는 고객 데이터가 포함되지 않아야 합니다. 실시간 테일링 세션에는 구성으로 저장된 필터가 포함됩니다. 테일링 로그는 로그 항목 데이터 자체를 저장하지는 않지만 리전 간에 데이터를 쿼리하고 전송할 수 있습니다. 고객 데이터가 포함된 필터를 만들지 마세요.

Google Cloud NetApp Volumes

영향을 받는 Google Cloud NetApp Volumes 기능

기능	설명
유연한 서비스 수준	미국 데이터 경계 및 지원 제어 패키지에서는 Flex 서비스 수준을 사용할 수 없습니다.

다음 단계

Assured Workloads 폴더를 만드는 방법 알아보기
미국 데이터 경계 제어 패키지에 대해 알아보기
Assured Workloads 가격 책정 이해하기