使用 VPC Service Controls 强制执行基于证书的访问权限

为了保护 Google Cloud 项目中的服务并降低数据渗漏的风险，您可以在组织、文件夹或项目级层指定 VPC Service Controls 服务边界。应用服务边界后，您可以精细控制入站政策以及要保护的服务和资源。

如需详细了解服务边界的优势，请参阅 VPC Service Controls 概览。

将 CBA 入站政策应用于服务边界

将 CBA 访问权限级别应用于服务边界后，您可以仅允许受信任的设备访问受边界保护的资源。如需详细了解如何创建 CBA 访问权限级别，请参阅为基于证书的访问权限创建访问权限级别。

下图展示了一个基本示例，说明了如何通过将 CBA 访问权限级别与服务边界相关联，限制来自未知设备的 Cloud Storage 敏感数据的访问权限：

如需将 CBA 入站流量政策应用于服务边界，请完成以下步骤：

1. 在 Google Cloud 控制台导航菜单中，点击安全，然后点击 VPC Service Controls。

   转到 VPC Service Controls 页面

2. 在 VPC Service Controls 页面的表中，点击要修改的服务边界的名称。

3. 在修改 VPC 服务边界页面上，点击访问权限级别。

4. 对于选择访问权限级别，请选择 CBA 访问权限级别。

5. 点击保存。