Informationen zu den unterstützten Connectors für Application Integration.
VPC Service Controls für Application Integration einrichten
Mit VPC Service Controls können Sie einen Sicherheitsbereich für den Google Cloud-Dienst von Application Integration definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb einer VPC einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:
- VPC Service Controls
- Details und Konfiguration von Dienstperimetern
- Zugriff auf VPC Service Controls gewähren
In diesem Dokument wird beschrieben, wie Sie einen VPC Service Controls-Perimeter für den Application Integration-Dienst einrichten. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien für ausgehenden und eingehenden Traffic konfigurieren. Diese legen fest, welche anderen Google Cloud-Dienste auf den Application Integration-Dienst (integrations.googleapis.com) und umgekehrt zugreifen können.
Hinweise
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von Dienstperimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.
VPC-Dienstperimeter erstellen
Zum Erstellen eines VPC-Dienstperimeters können Sie entweder den Befehl Google Cloud console, den Befehl gcloud oder die accessPolicies.servicePerimeters.create API verwenden.
Weitere Informationen finden Sie unter Dienstperimeter erstellen.
Führen Sie den folgenden Befehl aus, um dem Nutzer mithilfe der gcloud-Befehle Zugriff zu gewähren, um einen VPC Service Controls-Perimeter zu erstellen:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
Ersetzen Sie dabei Folgendes:
PERIMETER_TITLE: der Name des VPC Service Controls-PerimetersPROJECT_ID: das Projekt, dem Sie den VPC Service Controls-Perimeter hinzufügen möchten
Die Ausführung des vorherigen Befehls dauert einige Zeit. Wenn Sie Application Integration-Dienste verwenden, schränkt der VPC Service Controls-Perimeter die Einbindungsdienste für Ihr Projekt ein.
Damit IP-Adressen, Dienstkonten oder Nutzer Application Integration verwenden können, verwenden Sie die Regeln für eingehenden und ausgehenden Traffic. VPC Service Controls verwendet Regeln für ein- und ausgehenden Traffic, um den Zugriff auf und von den Ressourcen und Clients zu erlauben, die durch Dienstperimeter geschützt sind.
Richtlinie für ausgehenden Traffic einem vorhandenen Dienstperimeter hinzufügen
Verwenden Sie den Befehl gcloud access-context-manager perimeters update, um eine Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter hinzuzufügen. Mit dem folgenden Befehl wird beispielsweise eine in der Datei vpcsc-egress.yaml definierte Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter mit dem Namen integrationPerimeter hinzugefügt:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
Ähnlich wie bei einer Richtlinie für ausgehenden Traffic können Sie auch eine Richtlinie für eingehenden Traffic definieren. Weitere Informationen zum Festlegen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Perimeter prüfen
Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Der folgende Befehl beschreibt beispielsweise den Perimeter integrationPerimeter:
gcloud access-context-manager perimeters describe integrationPerimeter
Weitere Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.
Vertrauensstellungen
Wenn Sie den VPC-Dienstperimeter für den Application Integration-Dienst aktiviert haben, können Sie die folgenden Aufgaben in Ihren Integrationen nicht verwenden: