使用 VPC Service Controls 強制執行以憑證為基礎的存取權

如要保護 Google Cloud 專案中的服務，並降低資料外洩風險，您可以在機構、資料夾或專案層級指定 VPC Service Controls 服務範圍。套用服務範圍後，您就能精細控管輸入政策，以及要保護的服務和資源。

如要進一步瞭解服務範圍的好處，請參閱「VPC Service Controls 總覽」。

將 CBA ingress 政策套用至服務範圍

將 CBA 存取層級套用至服務範圍，即可只從信任的裝置授予範圍保護資源的存取權。如要進一步瞭解如何建立 CBA 存取層級，請參閱「建立以憑證為基礎的存取權存取層級」。

下圖說明基本範例，說明如何將 CBA 存取層級與服務範圍建立關聯，藉此限制來自不明裝置的 Cloud Storage 敏感資料存取權：

如要將 CBA 輸入政策套用至服務範圍，請完成下列步驟：

1. 在 Google Cloud 控制台導覽選單中，依序點選「Security」(安全性) 和「VPC Service Controls」。

   前往「VPC Service Controls」頁面

2. 在「VPC Service Controls」頁面的資料表中，按一下您要修改的服務範圍名稱。

3. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中，按一下「存取層級」。

4. 在「選擇存取層級」中，選取 CBA 存取層級。

5. 按一下 [儲存]。