如需保护项目中的 Google Cloud 服务并降低数据渗漏风险,您可以在组织、文件夹或项目级别指定 VPC Service Controls 服务边界。通过应用服务边界,您可以精细控制入站流量政策以及要保护的服务和资源。
如需详细了解服务边界的优势,请参阅 VPC Service Controls 概览。
将 CBA 入站流量政策应用于服务边界
通过将 CBA 访问权限级别应用于服务边界,您可以仅授权来自可信设备访问受边界保护的资源。如需详细了解如何创建 CBA 访问权限级别,请参阅为基于证书的访问权限创建访问权限级别。
下图演示了一个基本示例,该示例通过将 CBA 访问权限级别与服务边界相关联,限制未知设备对 Cloud Storage 敏感数据的访问:
如需将 CBA 入站流量政策应用于服务边界,请完成以下步骤:
在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls。
在 VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
在修改 VPC 服务边界页面上,点击访问权限级别。
在选择访问权限级别部分,选择 CBA 访问权限级别。
点击保存。