Auf dieser Seite finden Sie eine Übersicht über VPC Service Controls, eine Google Cloud Funktion, die sich in AlloyDB einbinden lässt, um Daten und Ressourcen zu schützen.
Mit VPC Service Controls können Sie das Risiko einer Daten-Exfiltration aus AlloyDB-Instanzen verringern. Mit VPC Service Controls können Sie Dienstperimeter erstellen, die die Ressourcen und Daten von Diensten schützen, die Sie explizit angeben.
Eine allgemeine Übersicht über VPC Service Controls, ihre Sicherheitsvorteile und ihre Funktionen für verschiedene Google Cloud Produkte finden Sie unter VPC Service Controls.
Hinweise
Rufen Sie in der Google Cloud Console die Seite Projektauswahl auf.
- Wählen Sie ein Google Cloud Projekt aus oder erstellen Sie ein neues.
- Die Abrechnung für Ihr Projekt muss aktiviert sein. Google Cloud Hier erfahren Sie, wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist.
- Aktivieren Sie die Compute Engine API.
- Aktivieren Sie die Service Networking API.
- Fügen Sie dem Nutzer- oder Dienstkonto, mit dem Sie VPC Service Controls einrichten und verwalten, die IAM-Rollen (Identity and Access Management) hinzu. Weitere Informationen finden Sie unter IAM-Rollen für die Verwaltung von VPC Service Controls.
- Weitere Informationen zur Verwendung von VPC Service Controls mit AlloyDB finden Sie unter Einschränkungen.
AlloyDB-Dienst mit VPC Service Controls sichern
Lesen Sie sich vor Beginn die Artikel VPC Service Controls und AlloyDB-Einschränkungen bei der Verwendung von VPC Service Controls durch.
Die Konfiguration von VPC Service Controls für ein AlloyDB-Projekt umfasst die folgenden Schritte:
Dienstperimeter erstellen und verwalten
Wählen Sie zuerst das AlloyDB-Projekt aus, das durch den VPC-Dienstperimeter geschützt werden soll, und erstellen und verwalten Sie dann den Dienstperimeter.
Erstellen und verwalten Sie Zugriffsebenen.
Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zuzulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können mithilfe von Zugriffsebenen nicht geschützten Ressourcen oder VMs die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters erteilen.
Dienstperimeter erstellen und verwalten
So erstellen und verwalten Sie einen Dienstperimeter:
Wählen Sie das AlloyDB-Projekt aus, das durch den VPC-Dienstperimeter geschützt werden soll.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Fügen Sie dem Dienstperimeter weitere Instanzen hinzu. Wenn Sie dem Perimeter vorhandene AlloyDB-Instanzen hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Fügen Sie dem Dienstperimeter APIs hinzu. Um das Risiko der Daten-Exfiltration aus AlloyDB zu minimieren, müssen Sie die AlloyDB API, die Compute Engine API, die Cloud Storage API, die Container Registry API, die Zertifizierungsdienstdienst API und die Cloud KMS API einschränken. Weitere Informationen finden Sie unter access-context-manager perimeters update.
So fügen Sie APIs als eingeschränkte Dienste hinzu:
- Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.
- Klicken Sie auf der Seite VPC Service Controls in der Tabelle auf den Namen des Dienstperimeters, den Sie ändern möchten.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
- Fügen Sie die AlloyDB API, die Compute Engine API, die Cloud Storage API, die Container Registry API, die Certificate Authority Service API und die Cloud KMS API hinzu.
- Klicken Sie auf Speichern.
gcloud access-context-manager perimeters update
PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com, containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com- PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
- POLICY_ID: Die ID der Zugriffsrichtlinie.
Wenn Sie erweiterte Suchanfrage-Statistiken aktiviert haben, fügen Sie die
databaseinsights.googleapis.com
API dem Dienstperimeter als eingeschränkten Dienst hinzu:- Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.
- Klicken Sie auf der Seite VPC Service Controls in der Tabelle auf den Namen des Dienstperimeters, den Sie ändern möchten.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
- Fügen Sie databaseinsights.googleapis.com hinzu.
- Klicken Sie auf Speichern.
gcloud access-context-manager perimeters update
PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=databaseinsights.googleapis.com- PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
- POLICY_ID: Die ID der Zugriffsrichtlinie.
Zugriffsebenen erstellen und verwalten
Folgen Sie der Anleitung unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen, um Zugriffsebenen zu erstellen und zu verwalten.