配置 VPC Service Controls

本页面简要介绍了 VPC Service Controls, Google Cloud 这项功能可与 AlloyDB 集成,以保护数据和资源。

VPC Service Controls 有助于降低 AlloyDB 实例中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,该边界可保护您明确指定的服务的资源和数据。

如需简要了解 VPC Service Controls、其安全优势以及在各产品中的功能 Google Cloud ,请参阅 VPC Service Controls 概览

准备工作

  1. 在 Google Cloud 控制台中,前往项目选择器页面。

    转到“项目选择器”

  2. 选择或 创建 Google Cloud 项目
  3. 确保您的 Google Cloud 项目已启用结算功能。了解如何 检查项目是否已启用结算功能
  4. 启用 Compute Engine API。

    启用 Compute Engine API

  5. 启用 Service Networking API。

    启用 Service Networking API

  6. Identity and Access Management (IAM) 角色添加到您用于设置和管理 VPC Service Controls 的用户或服务账号中。如需了解详情,请参阅 用于管理 VPC Service Controls 的 IAM 角色
  7. 查看将 VPC Service Controls 与 AlloyDB 搭配使用时的 限制

如何使用 VPC Service Controls 保护 AlloyDB 服务

在开始之前,请查看 VPC Service Controls 概览使用 VPC Service Controls 时的 AlloyDB 限制

为 AlloyDB 项目配置 VPC Service Controls 包括以下步骤:

  1. 创建和管理服务边界

    首先,选择您希望 VPC 服务边界保护的 AlloyDB 项目,然后创建和管理服务边界。

  2. 创建和管理访问权限级别

    (可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别为受保护的资源或虚拟机授予访问边界外的数据和服务的权限。

创建和管理服务边界

如需创建和管理服务边界,请完成以下步骤:

  1. 选择您希望 VPC 服务边界保护的 AlloyDB 项目。

  2. 按照创建服务边界中的说明创建服务边界。

  3. 向服务边界添加更多实例。如需将现有的 AlloyDB 实例添加到边界,请按照更新服务边界中的说明操作。

  4. 向服务边界添加 API。如需降低 AlloyDB 中数据渗漏的风险,您必须限制 AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API 和 Cloud KMS API。如需了解详情,请参阅 access-context-manager perimeters update

    如需将 API 添加为受限服务,请执行以下操作:

    控制台

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

    2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
    3. 点击修改
    4. 修改 VPC 服务边界页面上,点击添加服务
    5. 添加了 AlloyDB APICompute Engine APICloud Storage APIContainer Registry APICertificate Authority Service APICloud KMS API
    6. 点击保存

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
    • PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
    • POLICY_ID:访问权限政策的 ID。

  5. 如果您启用了增强型查询分析,请将 databaseinsights.googleapis.com API 作为受限服务添加到服务边界:

    控制台

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

    2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
    3. 点击修改
    4. 修改 VPC 服务边界页面上,点击添加服务
    5. 添加 databaseinsights.googleapis.com
    6. 点击保存

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
    • PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
    • POLICY_ID:访问权限政策的 ID。

创建和管理访问权限级别

如需创建和管理访问权限级别,请按照允许从边界外访问受保护的资源中的说明操作。