Menyiapkan Kontrol Layanan VPC untuk Konektor Integrasi
Dengan Kontrol Layanan VPC, Anda dapat menentukan perimeter keamanan di sekitar layanan Google Cloud Konektor Integrasi. Dengan perimeter keamanan di sekitar layanan, Anda dapat membatasi data dalam perimeter Kontrol Layanan VPC dan mengurangi risiko pemindahan data yang tidak sah. Jika Anda belum memahami Kontrol Layanan VPC, sebaiknya baca informasi berikut:
- Ringkasan Kontrol Layanan VPC
- Detail dan konfigurasi perimeter layanan
- Memberikan akses ke Kontrol Layanan VPC
Dokumen ini menjelaskan cara membatasi akses ke layanan Konektor Integrasi (connectors.googleapis.com)
menggunakan perimeter Kontrol Layanan VPC. Setelah menyiapkan perimeter,
Anda dapat mengonfigurasi kebijakan yang menentukan layanan atau pengguna Google Cloud lain yang dapat mengakses layanan connectors.googleapis.com.
Pertimbangan
- Jika koneksi Anda terhubung ke resource Google Cloud, resource tersebut harus dapat diakses dari dalam perimeter Kontrol Layanan VPC.
- Jika Anda sudah memiliki koneksi ke endpoint publik, sebelum menyiapkan perimeter Kontrol Layanan VPC, pastikan koneksi tersebut menggunakan lampiran PSC (Private Service Connect) untuk menghubungkan sistem backend. Tanpa lampiran PSC, koneksi yang ada ke endpoint publik akan gagal setelah Anda menyiapkan perimeter Kontrol Layanan VPC.
- Jika koneksi Anda terhubung ke resource non-Google Cloud, tujuan koneksi harus berupa lampiran PSC. Koneksi yang dibuat tanpa lampiran PSC akan gagal.
- Jika menyiapkan perimeter Kontrol Layanan VPC untuk project Google Cloud, Anda tidak dapat menggunakan fitur langganan peristiwa untuk project tersebut.
Sebelum memulai
Pastikan Anda memiliki izin yang diperlukan untuk mengonfigurasi perimeter Kontrol Layanan VPC. Untuk melihat daftar peran IAM yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC, lihat Kontrol akses dengan IAM dalam dokumentasi Kontrol Layanan VPC.Membuat perimeter Kontrol Layanan VPC
Untuk membuat perimeter Kontrol Layanan VPC, Anda dapat menggunakan perintah Google Cloud console,
atau gcloud, atau accessPolicies.servicePerimeters.create API.
Untuk mengetahui informasi selengkapnya, lihat Membuat perimeter layanan.
Langkah-langkah berikut menunjukkan cara membuat perimeter Kontrol Layanan VPC dengan akses pengguna yang diaktifkan menggunakan perintah gcloud.
- Buat file
access.yamlyang memiliki detail pengguna yang diizinkan untuk mengakses perimeter. Contoh:- members: - user:USER_EMAIL
- Dapatkan ID kebijakan akses organisasi Anda menggunakan perintah berikut:
- Buat tingkat akses untuk pengguna.
gcloud access-context-manager levels create ACCESS_LEVEL_NAME \ --title "CUSTOM_TITLE" \ --basic-level-spec access.yaml \ --policy=POLICY_ID
Dalam perintah ini, POLICY_ID, adalah nilai yang Anda dapatkan dari langkah sebelumnya.
- Di setelan global project Google Cloud, tetapkan nilai atribut
vpcscketrue.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": true}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsPerintah ini menampilkan ID operasi dan memulai operasi yang berjalan lama (LRO) yang mungkin memerlukan waktu beberapa saat untuk diselesaikan. Tunggu hingga LRO selesai. Anda dapat melacak progres operasi menggunakan perintah berikut:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Buat perimeter Kontrol Layanan VPC dan berikan akses kepada pengguna.
gcloud access-context-manager perimeters create PERIMETER_NAME \ --title="PERIMETER_TITLE" \ --resources=projects/PROJECT_ID \ --restricted-services=connectors.googleapis.com \ --access_levels=ACCESS_LEVEL_NAME
Perintah ini memerlukan waktu beberapa saat untuk diselesaikan, selama itu Anda dapat menjalankan tugas lain di terminal baru.
Jika ingin memperbarui tingkat akses, dan menambahkan layananconnectors.googleapis.comke perimeter yang ada, jalankan perintah berikut:gcloud access-context-manager perimeters update PERIMETER_NAME \ --add-restricted-services="connectors.googleapis.com" \ --add-access-levels=ACCESS_LEVEL_NAME \ --policy=POLICY_ID
gcloud access-context-manager policies list --organization=ORGANIZATION_ID
Perintah ini mencantumkan semua kebijakan untuk organisasi. Dari daftar, pilih kebijakan yang ingin Anda buat perimeter Kontrol Layanan VPC-nya.
Anda dapat melihat ID resource organisasi menggunakan konsol Google Cloud. Untuk informasi selengkapnya, lihat Mendapatkan ID resource organisasi.
Memverifikasi perimeter Anda
Untuk memverifikasi perimeter, gunakan perintah gcloud access-context-manager perimeters describe PERIMETER_NAME. Contoh:
gcloud access-context-manager perimeters describe PERIMETER_NAME
Untuk mengetahui informasi selengkapnya, lihat Mengelola perimeter layanan.
Menghapus project dari perimeter Kontrol Layanan VPC
Untuk menghapus project Google Cloud dari perimeter Kontrol Layanan VPC, lakukan langkah-langkah berikut:
- Di setelan global project Google Cloud, tetapkan nilai atribut
vpcsckefalse.curl -X PATCH -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{"vpcsc": false}' \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/settingsPerintah ini menampilkan ID operasi dan memulai operasi yang berjalan lama (LRO) yang mungkin memerlukan waktu beberapa saat untuk diselesaikan. Tunggu hingga LRO selesai. Anda dapat melacak progres operasi menggunakan perintah berikut:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/operations/OPERATION_ID
- Hapus project Anda dari perimeter Kontrol Layanan VPC.
gcloud access-context-manager perimeters update accessPolicies/POLICY_ID/servicePerimeters/PERIMETER_NAME