Menyiapkan Kontrol Layanan VPC untuk Integration Connectors

Kontrol Layanan VPC memungkinkan Anda menentukan perimeter keamanan di layanan Google Cloud Integration Connectors. Dengan perimeter keamanan di sekeliling layanan Anda, Anda dapat membatasi data di dalam perimeter Kontrol Layanan VPC dan memitigasi risiko pemindahan data yang tidak sah. Jika belum memahami Kontrol Layanan VPC, sebaiknya Anda mempelajari informasi berikut:

Dokumen ini menjelaskan cara membatasi akses ke layanan Integration Connectors (connectors.googleapis.com) menggunakan perimeter Kontrol Layanan VPC. Setelah menyiapkan perimeter, Anda dapat mengonfigurasi kebijakan yang menentukan layanan atau pengguna Google Cloud lain yang dapat mengakses layanan connectors.googleapis.com.

Pertimbangan

Jika koneksi Anda terhubung ke resource Google Cloud, resource tersebut harus dapat diakses dari dalam perimeter Kontrol Layanan VPC.
Jika Anda sudah memiliki koneksi ke endpoint publik, sebelum menyiapkan perimeter Kontrol Layanan VPC, pastikan koneksi tersebut menggunakan lampiran PSC (Private Service Connect) untuk menghubungkan sistem backend. Tanpa lampiran PSC, koneksi yang ada ke endpoint publik akan gagal setelah Anda menyiapkan perimeter Kontrol Layanan VPC.
Jika koneksi Anda terhubung ke resource non-Google Cloud, tujuan koneksi harus berupa lampiran PSC. Koneksi yang dibuat tanpa tanggapan PSC akan gagal.
Jika Anda menyiapkan perimeter Kontrol Layanan VPC untuk project Google Cloud, Anda tidak dapat menggunakan fitur langganan peristiwa untuk project tersebut.

Sebelum memulai

Pastikan Anda memiliki izin yang diperlukan untuk mengonfigurasi perimeter Kontrol Layanan VPC. Untuk melihat daftar peran IAM yang diperlukan guna mengonfigurasi Kontrol Layanan VPC, lihat Kontrol akses dengan IAM dalam dokumentasi Kontrol Layanan VPC.

Membuat perimeter Kontrol Layanan VPC

Untuk membuat perimeter Kontrol Layanan VPC, Anda dapat menggunakan Google Cloud console, atau perintah gcloud, atau accessPolicies.servicePerimeters.create API. Untuk mengetahui informasi selengkapnya, lihat Membuat perimeter layanan.

Langkah-langkah berikut menunjukkan cara membuat perimeter Kontrol Layanan VPC dengan akses pengguna yang diaktifkan menggunakan perintah gcloud.

Buat file access.yaml yang berisi detail pengguna yang diizinkan untuk mengakses perimeter. Contoh:
```
- members:
    - user:USER_EMAIL
```
Dapatkan ID kebijakan akses organisasi Anda menggunakan perintah berikut:

gcloud access-context-manager policies list --organization=ORGANIZATION_ID

Perintah ini mencantumkan semua kebijakan untuk organisasi. Dari daftar, pilih kebijakan yang ingin Anda buat perimeter Kontrol Layanan VPC-nya.

Anda dapat melihat ID resource organisasi dengan menggunakan konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan ID resource organisasi.

Buat tingkat akses untuk pengguna.

gcloud access-context-manager levels create ACCESS_LEVEL_NAME \
--title "CUSTOM_TITLE" \
--basic-level-spec access.yaml \
--policy=POLICY_ID

Dalam perintah ini, POLICY_ID, adalah nilai yang Anda dapatkan dari langkah sebelumnya.

Di setelan global project Google Cloud, tetapkan nilai atribut vpcsc ke true.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": true}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

Perintah ini menampilkan ID operasi dan memulai operasi yang berjalan lama (LRO) yang mungkin memerlukan waktu beberapa saat untuk diselesaikan. Tunggu hingga LRO selesai. Anda dapat melacak progres operasi dengan menggunakan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

Membuat perimeter Kontrol Layanan VPC dan memberikan akses kepada pengguna.

gcloud access-context-manager perimeters create PERIMETER_NAME \
--title="PERIMETER_TITLE" \
--resources=projects/PROJECT_ID \
--restricted-services=connectors.googleapis.com \
--access_levels=ACCESS_LEVEL_NAME

Perintah ini memerlukan waktu beberapa saat untuk diselesaikan, dan selama itu Anda dapat menjalankan tugas lain di terminal baru.

Jika ingin mengupdate tingkat akses, dan menambahkan layanan connectors.googleapis.com ke perimeter yang ada, jalankan perintah berikut:

gcloud access-context-manager perimeters update PERIMETER_NAME \
--add-restricted-services="connectors.googleapis.com" \
--add-access-levels=ACCESS_LEVEL_NAME \
--policy=POLICY_ID

Memverifikasi perimeter Anda

Untuk memverifikasi perimeter, gunakan perintah gcloud access-context-managers describe PERIMETER_NAME. Contoh:

gcloud access-context-manager perimeters describe PERIMETER_NAME

Untuk mengetahui informasi selengkapnya, lihat Mengelola perimeter layanan.

Menghapus project dari perimeter Kontrol Layanan VPC

Untuk menghapus project Google Cloud Anda dari perimeter Kontrol Layanan VPC, lakukan langkah-langkah berikut:

Di setelan global project Google Cloud, tetapkan nilai atribut vpcsc ke false.

curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{"vpcsc": false}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settings

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID

Hapus project Anda dari perimeter Kontrol Layanan VPC.

gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME

Langkah selanjutnya

Pelajari cara Kontrol Layanan VPC melindungi data Anda.