Halaman ini memberikan ringkasan tentang Kontrol Layanan VPC, fitur Google Cloud yang terintegrasi dengan AlloyDB untuk mengamankan data dan resource.
Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dari instance AlloyDB. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Untuk ringkasan umum tentang Kontrol Layanan VPC, manfaat keamanannya, dan kemampuannya di seluruh Google Cloud produk, lihat Ringkasan Kontrol Layanan VPC.
Sebelum memulai
Di konsol Google Cloud, buka halaman Project Selector.
- Pilih atau buat Google Cloud project.
- Pastikan penagihan diaktifkan untuk project Google Cloud Anda. Pelajari cara memeriksa apakah penagihan diaktifkan pada project.
- Aktifkan Compute Engine API.
- Aktifkan Service Networking API.
- Tambahkan peran Identity and Access Management (IAM) ke akun pengguna atau layanan yang Anda gunakan untuk menyiapkan dan mengelola Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Peran IAM untuk Mengelola Kontrol Layanan VPC.
- Tinjau batasan saat menggunakan Kontrol Layanan VPC dengan AlloyDB.
Cara mengamankan layanan AlloyDB menggunakan Kontrol Layanan VPC
Sebelum memulai, tinjau Ringkasan Kontrol Layanan VPC dan Batasan AlloyDB saat menggunakan Kontrol Layanan VPC.
Mengonfigurasi Kontrol Layanan VPC untuk project AlloyDB mencakup langkah-langkah berikut:
Membuat dan mengelola perimeter layanan.
Pertama, pilih project AlloyDB yang ingin dilindungi oleh perimeter layanan VPC, lalu buat dan kelola perimeter layanan.
Membuat dan mengelola tingkat akses.
Secara opsional, untuk mengizinkan akses eksternal ke resource yang dilindungi di dalam perimeter, Anda dapat menggunakan level akses. Tingkat akses hanya berlaku untuk permintaan resource yang dilindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin ke resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter.
Membuat dan mengelola perimeter layanan
Untuk membuat dan mengelola perimeter layanan, selesaikan langkah-langkah berikut:
Pilih project AlloyDB yang ingin dilindungi oleh perimeter layanan VPC.
Buat perimeter layanan dengan mengikuti petunjuk di Membuat perimeter layanan.
Tambahkan lebih banyak instance ke perimeter layanan. Untuk menambahkan instance AlloyDB yang ada ke perimeter, ikuti petunjuk di bagian Memperbarui perimeter layanan.
Tambahkan API ke perimeter layanan. Untuk mengurangi risiko data Anda dieksfiltrasi dari AlloyDB, Anda harus membatasi AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, dan Cloud KMS API. Untuk informasi selengkapnya, lihat pembaruan perimeter access-context-manager.
Untuk menambahkan API sebagai layanan yang dibatasi:
- Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.
- Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
- Klik Edit.
- Di halaman Edit VPC Service Perimeter, klik Add Services.
- Tambahkan AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, dan Cloud KMS API.
- Klik Save.
gcloud access-context-manager perimeters update
PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com, containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com- PERIMETER_ID: ID perimeter atau ID yang sepenuhnya memenuhi syarat untuk perimeter.
- POLICY_ID: ID kebijakan akses.
Jika Anda mengaktifkan insight kueri yang ditingkatkan, tambahkan
databaseinsights.googleapis.com
API ke perimeter layanan sebagai layanan terbatas:- Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.
- Di halaman Kontrol Layanan VPC, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
- Klik Edit.
- Di halaman Edit VPC Service Perimeter, klik Add Services.
- Tambahkan databaseinsights.googleapis.com.
- Klik Save.
gcloud access-context-manager perimeters update
PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=databaseinsights.googleapis.com- PERIMETER_ID: ID perimeter atau ID yang sepenuhnya memenuhi syarat untuk perimeter.
- POLICY_ID: ID kebijakan akses.
Membuat dan mengelola tingkat akses
Untuk membuat dan mengelola tingkat akses, ikuti petunjuk di artikel Mengizinkan akses ke resource yang dilindungi dari luar perimeter.