VPC Service Controls 可帮助您降低 Google Cloud 服务中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,以帮助保护您明确指定的服务的资源和数据。
如需将 Looker (Google Cloud Core) 服务添加到 VPC Service Controls 服务边界,请按照创建服务边界文档页面上关于如何创建服务边界的说明操作,然后在指定要限制的服务对话框中选择 Looker (Google Cloud Core) API。如需详细了解如何使用 VPC Service Controls,请访问 VPC Service Controls 概览文档页面。
VPC Service Controls 支持满足以下两个条件的 Looker (Google Cloud Core) 实例:
所需的角色
如需了解设置 VPC Service Controls 所需的 IAM 角色,请访问 VPC Service Controls 文档的使用 IAM 进行访问权限控制页面。
移除默认路由
如果 Looker (Google Cloud Core) 实例是在 VPC Service Controls 边界内的 Google Cloud 项目内创建的,或者是在添加到 VPC Service Controls 边界的项目中创建的,则您必须移除通向互联网的默认路由。
如需移除通向互联网的默认路由,请选择以下选项之一:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
将 NETWORK
替换为您的 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问 gcloud services vpc-peerings enable-vpc-service-controls 文档页面。
REST
HTTP 方法和网址:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
请求 JSON 正文:
{ "consumerNetwork": NETWORK }
将 NETWORK
替换为您的 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问方法:services.enableVpcServiceControls 文档页面。
连接到 VPC Service Controls 边界之外的资源或服务
如需连接到其他 Google Cloud 资源或服务,如果资源所在的项目位于 VPC Service Controls 边界外,您可能需要设置入站和出站规则。
如需了解如何访问其他外部资源,请按照使用 Looker (Google Cloud Core) 的专用 IP 网络文档页面中您要连接的资源类型所对应的说明操作。
向边界添加 CMEK 密钥
有时,启用了客户管理的加密密钥 (CMEK) 的 Looker (Google Cloud Core) 实例将 Cloud KMS 密钥托管在其他 Google Cloud 项目中。在这种情况下,启用 VPC Service Controls 时,必须将 KMS 密钥托管项目添加到安全边界。