Mit VPC Service Controls können Sie einen Sicherheitsbereich um den Google Cloud-Dienst von Apigee Integration definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb einer VPC einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:
- VPC Service Controls
- Details und Konfiguration von Dienstperimetern
- Zugriff auf VPC Service Controls gewähren
In diesem Dokument wird beschrieben, wie Sie einen VPC Service Controls-Perimeter für den Apigee Integration-Dienst einrichten. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien für ausgehenden und eingehenden Traffic konfigurieren, die bestimmen, welche anderen Google Cloud-Dienste auf den Apigee Integration-Dienst (integrations.googleapis.com) zugreifen können und umgekehrt, auf welche Dienste der Apigee-Integrationsdienst zugreifen kann.
Hinweis
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von Dienstperimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.
VPC-Dienstperimeter erstellen
Zum Erstellen eines VPC-Dienstperimeters können Sie entweder den Befehl Google Cloud console, den Befehl gcloud oder die accessPolicies.servicePerimeters.create API verwenden.
Weitere Informationen finden Sie unter Dienstperimeter erstellen.
Führen Sie den folgenden Befehl aus, um einen VPC Service Controls-Perimeter zu erstellen und dem Nutzer mit den Befehlen gcloud Zugriff zu gewähren:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Ersetzen Sie Folgendes:
PERIMETER_TITLE: der Name des VPC Service Controls-PerimetersPROJECT_ID: das Projekt, für das Sie den VPC Service Controls-Perimeter hinzufügen möchten
Der vorherige Befehl dauert einige Zeit. Der VPC Service Controls-Perimeter schränkt Integrationsdienste für Ihr Projekt ein, wenn Sie die Apigee Integration-Dienste verwenden.
Damit IP-Adressen, Dienstkonten oder Nutzer die Apigee-Integration verwenden können, verwenden Sie die Regeln für eingehenden und ausgehenden Traffic. VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind.
Richtlinie für ausgehenden Traffic einem vorhandenen Dienstperimeter hinzufügen
Verwenden Sie den Befehl gcloud access-context-manager perimeters update, um eine Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter hinzuzufügen. Mit dem folgenden Befehl wird beispielsweise eine in der Datei vpcsc-egress.yaml definierte Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter mit dem Namen integrationPerimeter hinzugefügt:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
Ähnlich wie bei einer Richtlinie für ausgehenden Traffic können Sie auch eine Richtlinie für eingehenden Traffic definieren. Weitere Informationen zum Festlegen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Perimeter prüfen
Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Der folgende Befehl beschreibt beispielsweise den Perimeter integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Weitere Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.
Vertrauensstellungen
Wenn Sie den VPC-Dienstperimeter für den Apigee Integration-Dienst aktiviert haben, können Sie die folgenden Aufgaben in Ihren Integrationen nicht verwenden: