設定 VPC Service Controls

本頁面提供 VPC Service Controls 的總覽,這項 Google Cloud 功能可與 AlloyDB 整合,確保資料和資源安全無虞。

VPC Service Controls 可協助降低 AlloyDB 執行個體資料遭竊的風險。您可以使用 VPC Service Controls 建立服務範圍,保護您明確指定的服務資源和資料。

如要大致瞭解 VPC Service Controls、其安全性優點,以及 Google Cloud 產品的相關功能,請參閱「VPC Service Controls 總覽」。

事前準備

  1. 前往 Google Cloud 控制台的「專案選取器」頁面。

    前往專案選取器

  2. 選取或 建立 Google Cloud 專案
  3. 請確認您已為 Google Cloud 專案啟用計費功能。瞭解如何 檢查專案是否已啟用計費功能
  4. 啟用 Compute Engine API。

    啟用 Compute Engine API

  5. 啟用 Service Networking API。

    啟用 Service Networking API

  6. 為用於設定及管理 VPC Service Controls 的使用者或服務帳戶,新增 Identity and Access Management (IAM) 角色。詳情請參閱 用於管理 VPC Service Controls 的 IAM 角色
  7. 使用 VPC Service Controls 與 AlloyDB 時,請查看 限制

如何使用 VPC Service Controls 保護 AlloyDB 服務

開始操作前,請先詳閱「VPC Service Controls 總覽」和「使用 VPC Service Controls 時的 AlloyDB 限制」。

為 AlloyDB 專案設定 VPC Service Controls 的步驟如下:

  1. 建立及管理服務範圍

    首先,選取要以虛擬私有雲服務範圍保護的 AlloyDB 專案,然後建立及管理服務範圍。

  2. 建立及管理存取層級

    如要允許外部存取範圍內的受保護資源,您可以選擇使用存取層級。存取層級僅適用於來自服務範圍外的受保護資源存取要求。您無法使用存取層級,授權受保護的資源或 VM 存取範圍外的資料和服務。

建立及管理服務範圍

如要建立及管理服務安全防護範圍,請完成下列步驟:

  1. 選取要由虛擬私有雲服務範圍保護的 AlloyDB 專案。

  2. 按照「建立服務範圍」的指示操作。

  3. 在服務範圍中新增更多執行個體。如要將現有 AlloyDB 執行個體新增至服務範圍,請按照「更新服務範圍」中的操作說明進行。

  4. 將 API 新增至服務範圍。為降低資料從 AlloyDB 外洩的風險,您必須限制 AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API 和 Cloud KMS API。詳情請參閱「access-context-manager perimeters update」。

    如要將 API 新增為受限制的服務,請按照下列步驟操作:

    控制台

    1. 在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。

      前往「VPC Service Controls」頁面

    2. 在「VPC Service Controls」頁面的資料表中,按一下要修改的服務範圍名稱。
    3. 按一下 [編輯]
    4. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Add Services」(新增服務)
    5. 新增 AlloyDB APICompute Engine APICloud Storage APIContainer Registry APICertificate Authority Service APICloud KMS API
    6. 按一下 [儲存]

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
    • PERIMETER_ID:範圍的 ID 或範圍的完整 ID。
    • POLICY_ID:存取權政策的 ID。

  5. 如果已啟用強化查詢洞察,請將 databaseinsights.googleapis.com API 新增至服務範圍,做為受限服務:

    控制台

    1. 在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。

      前往「VPC Service Controls」頁面

    2. 在「VPC Service Controls」頁面的資料表中,按一下要修改的服務範圍名稱。
    3. 按一下 [編輯]
    4. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Add Services」(新增服務)
    5. 新增 databaseinsights.googleapis.com
    6. 按一下 [儲存]

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
    • PERIMETER_ID:範圍的 ID 或範圍的完整 ID。
    • POLICY_ID:存取權政策的 ID。

建立及管理存取層級

如要建立及管理存取層級,請按照「允許服務範圍外的受保護資源存取要求」的說明操作。