VPC Service Controls 可帮助您降低 Google Cloud 服务中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,以帮助保护您明确指定的服务的资源和数据。
如需将 Looker (Google Cloud Core) 服务添加到 VPC Service Controls 服务边界,请按照创建服务边界文档页面上关于如何创建服务边界的说明操作,然后在指定要限制的服务对话框中选择 Looker (Google Cloud Core) API。如需详细了解如何使用 VPC Service Controls,请访问 VPC Service Controls 概览文档页面。
VPC Service Controls 支持满足以下两个条件的 Looker (Google Cloud Core) 实例:
所需的角色
如需了解设置 VPC Service Controls 所需的 IAM 角色,请访问 VPC Service Controls 文档的使用 IAM 进行访问权限控制页面。
移除默认路由
在 VPC Service Controls 边界内的项目中或添加到 VPC Service Controls 边界的项目中创建 Looker (Google Cloud Core) 实例时,您必须移除通向互联网的默认路由。 Google Cloud
如需移除通向互联网的默认路由,请选择以下选项之一:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
将 NETWORK 替换为 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问 gcloud services vpc-peerings enable-vpc-service-controls 文档页面。
REST
HTTP 方法和网址:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
请求 JSON 正文:
{
"consumerNetwork": NETWORK
}
将 NETWORK 替换为 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问方法:services.enableVpcServiceControls 文档页面。
连接到 VPC Service Controls 边界之外的资源或服务
如需连接到其他 Google Cloud 资源或服务,如果资源所在的项目位于 VPC Service Controls 边界之外,您可能需要设置入站和出站规则。
如需了解如何访问其他外部资源,请参阅使用 Looker (Google Cloud Core) 的专用 IP 网络文档页面,按照您要连接到的资源类型的说明操作。
向边界添加 CMEK 密钥
有时,启用了客户管理的加密密钥 (CMEK) 的 Looker (Google Cloud Core) 实例将 Cloud KMS 密钥托管在其他 Google Cloud 项目中。对于这种情况,启用 VPC Service Controls 时,必须将托管 KMS 密钥的项目添加到安全边界。