Mengamankan data Anda dengan perimeter layanan

Kontrol Layanan VPC membantu Anda mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.

Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter layanan di sekitar resource layanan yang dikelola Google dan mengontrol pergerakan data melintasi batas perimeter.

Membuat perimeter layanan

Untuk membuat perimeter layanan, ikuti panduan Kontrol Layanan VPC untuk membuat perimeter layanan.

Saat Anda mendesain perimeter layanan, sertakan layanan berikut:

  • Migration Center API (migrationcenter.googleapis.com)
  • RMA API (rapidmigrationassessment.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Resource Manager API (cloudresourcemanager.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)

Mengizinkan traffic dengan aturan transfer data masuk

Secara default, perimeter layanan dirancang untuk mencegah transfer data masuk dari layanan di luar perimeter. Jika Anda berencana menggunakan impor data untuk mengupload data dari luar perimeter, atau menggunakan klien penemuan untuk mengumpulkan data infrastruktur, konfigurasikan aturan akses data untuk mengizinkannya.

Mengaktifkan impor data

Untuk mengaktifkan impor data, tentukan aturan transfer data masuk menggunakan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan per produk, per project yang Anda gunakan untuk mengupload data ke Migration Center, dengan format berikut: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Di sini, PROJECT_NUMBER adalah ID unik project Google Cloud tempat Anda mengaktifkan Migration Center API. Untuk mengetahui informasi selengkapnya tentang nomor project, lihat Mengidentifikasi project.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.

Anda tidak dapat menggunakan jenis identitas ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT dengan URL yang ditandatangani. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Mengaktifkan pengumpulan data dengan klien penemuan

Untuk mengaktifkan pengumpulan data dengan klien penemuan, tentukan aturan transfer data masuk dengan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan yang Anda gunakan untuk membuat klien penemuan. Untuk informasi selengkapnya, tinjau proses penginstalan klien penemuan.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.

Batasan

Batasan berikut berlaku saat Anda mengaktifkan perimeter layanan.

StratoZone

StratoZone tidak mematuhi Kontrol Layanan VPC. Jika Anda mencoba mengaktifkan integrasi StratoZone dengan Migration Center setelah membuat perimeter layanan, Anda akan menerima error.

Namun, jika Anda mengaktifkan integrasi StratoZone sebelum membuat perimeter layanan, Anda masih dapat mengakses StratoZone dan data yang telah dikumpulkan, tetapi Migration Center tidak akan mengirim data baru apa pun ke StratoZone.