Mengamankan data Anda dengan perimeter layanan

Kontrol Layanan VPC membantu Anda mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.

Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter layanan di sekitar resource dalam layanan yang dikelola Google Anda dan mengontrol pergerakan data melintasi batas perimeter.

Membuat perimeter layanan

Untuk membuat perimeter layanan, ikuti panduan Kontrol Layanan VPC untuk membuat perimeter layanan.

Saat Anda mendesain perimeter layanan, sertakan layanan berikut:

  • API Pusat Migrasi (migrationcenter.googleapis.com)
  • RMA API (rapidmigrationassessment.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)

Mengizinkan traffic dengan aturan transfer data masuk

Secara default, perimeter layanan didesain untuk mencegah transfer data masuk dari layanan di luar perimeter. Jika Anda berencana menggunakan impor data untuk mengupload data dari luar perimeter, atau menggunakan klien discovery untuk mengumpulkan data infrastruktur, konfigurasikan aturan akses data untuk mengizinkannya.

Aktifkan impor data

Untuk mengaktifkan impor data, tentukan aturan transfer data masuk menggunakan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan per produk per project yang Anda gunakan untuk mengupload data ke Pusat Migrasi, dengan format berikut: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Di sini, PROJECT_NUMBER adalah ID unik project Google Cloud tempat Anda mengaktifkan Migration Center API. Untuk informasi selengkapnya tentang nomor project, lihat Mengidentifikasi project.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.

Anda tidak dapat menggunakan jenis identitas ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT dengan URL yang ditandatangani. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Mengaktifkan pengumpulan data dengan klien discovery

Untuk mengaktifkan pengumpulan data dengan klien discovery, tentukan aturan transfer data masuk dengan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan yang Anda gunakan untuk membuat klien Discovery. Untuk informasi selengkapnya, tinjau proses penginstalan klien Discovery.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.

Batasan

Batasan berikut berlaku jika Anda mengaktifkan perimeter layanan.

StratoZone

StratoZone tidak mematuhi Kontrol Layanan VPC. Jika mencoba mengaktifkan integrasi StratoZone dengan Pusat Migrasi setelah membuat perimeter layanan, Anda akan menerima pesan error.

Namun, jika mengaktifkan integrasi StratoZone sebelum membuat perimeter layanan, Anda tetap dapat mengakses StratoZone dan data yang sudah dikumpulkan, tetapi Migration Center tidak mengirimkan data baru ke StratoZone.

Mengekspor laporan

Mengekspor laporan harga mendetail tidak didukung di perimeter layanan.