VPC Service Controls 可提高您降低 Google Cloud 服务数据渗漏风险的能力。您可以使用 VPC Service Controls 创建服务边界,从而帮助保护您明确指定的服务的资源和数据。
如需将 Looker (Google Cloud Core) 服务添加到 VPC Service Controls 服务边界,请按照创建服务边界文档页面上有关如何创建服务边界的说明进行操作,并在指定要限制的服务对话框中选择 Looker (Google Cloud Core) API。如需详细了解如何使用 VPC Service Controls,请访问 VPC Service Controls 概览文档页面。
VPC Service Controls 支持满足以下两个条件的 Looker (Google Cloud Core) 实例:
所需的角色
如需了解设置 VPC Service Controls 所需的 IAM 角色,请访问 VPC Service Controls 文档的使用 IAM 进行访问权限控制页面。
移除默认路由
如果在 VPC Service Controls 边界内的 Google Cloud 项目内创建 Looker (Google Cloud Core) 实例,或者在已添加到 VPC Service Controls 边界的项目内创建 Looker (Google Cloud Core) 实例,您必须移除通向互联网的默认路由。
如需移除通向互联网的默认路由,请选择以下选项之一:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
将 NETWORK 替换为您的 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问 gcloud services vpc-peerings enable-vpc-service-controls 文档页面。
REST
HTTP 方法和网址:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
请求 JSON 正文:
{
"consumerNetwork": NETWORK
}
将 NETWORK 替换为您的 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问方法:services.enableVpcServiceControls 文档页面。
连接到 VPC Service Controls 边界外的资源或服务
如需连接到其他 Google Cloud 资源或服务,如果该资源所在的项目位于 VPC Service Controls 边界外,您可能需要设置入站和出站规则。
如需了解如何访问其他外部资源,请按照使用 Looker (Google Cloud Core) 的专用 IP 网络文档页面上要连接的资源类型的说明进行操作。
将 CMEK 密钥添加到边界
有时,使用客户管理的加密密钥 (CMEK) 启用的 Looker (Google Cloud Core) 实例会将 Cloud KMS 密钥托管在其他 Google Cloud 项目中。对于此场景,启用 VPC Service Controls 时,您必须将 KMS 密钥托管项目添加到安全边界。