Mit VPC Service Controls können Sie das Risiko nicht autorisierter Kopien oder Datenübertragung von Ihren von Google verwalteten Diensten.
Mit VPC Service Controls können Sie Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Dienstperimeter erstellen
Folgen Sie der Anleitung VPC Service Controls-Leitfaden zum Erstellen eines Dienstperimeters, um einen Dienstperimeter zu erstellen.
Berücksichtigen Sie beim Entwerfen des Dienstperimeters die folgenden Dienste:
- Migration Center API (
migrationcenter.googleapis.com) - RMA API (
rapidmigrationassessment.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
Traffic mit Regeln für den eingehenden Datentransfer zulassen
Standardmäßig soll der Dienstperimeter eine eingehende Datenübertragung von Diensten außerhalb des Perimeters verhindern. Wenn Sie den Datenimport verwenden möchten, um Daten von außerhalb des Perimeters hochzuladen, oder den Discovery-Client zum Erfassen von Infrastrukturdaten verwenden, konfigurieren Sie Datenzugriffsregeln, um dies zuzulassen.
Datenimport aktivieren
Geben Sie zum Aktivieren des Datenimports Regeln für die eingehende Datenübertragung mithilfe der folgenden Syntax:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: Das pro Produkt und pro Projekt verwendete Dienstkonto, mit dem Sie Daten in das Migration Center hochladen. Es muss folgendermaßen formatiert sein:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Hier ist
PROJECT_NUMBERdie eindeutige Kennung des Google Cloud-Projekt, in dem Sie die Migration Center API aktiviert haben. Weitere Informationen zu Projektnummern finden Sie unter Projekte identifizieren.PROJECT_ID: die ID des Projekts innerhalb des Perimeters in das Sie die Daten hochladen möchten.
Sie können die Identitätstypen ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht mit signierten URLs verwenden. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zulassen.
Datenerhebung mit Discovery-Client aktivieren
Wenn Sie die Datenerhebung mit dem Discovery-Client aktivieren möchten, geben Sie die Regeln für die eingehende Datenübertragung mit der folgenden Syntax:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: das Dienstkonto, das Sie mit denen der Discovery-Client erstellt wurde. Weitere Informationen finden Sie unter Discovery-Client installieren.PROJECT_ID: Die ID des Projekts innerhalb des Perimeter, in das Sie die Daten hochladen möchten.
Beschränkungen
Wenn Sie den Dienstperimeter aktivieren, gelten die folgenden Einschränkungen.
StratoZone
StratoZone entspricht nicht den VPC Service Controls. Wenn Sie versuchen, StratoZone-Integration in Migration Center nach dem Erstellen des Dienstes Perimeter erhalten Sie eine Fehlermeldung.
Wenn Sie die StratoZone-Integration jedoch aktiviert haben, bevor Sie den Dienstperimeter erstellt haben, können Sie weiterhin auf StratoZone und die bereits erfassten Daten zugreifen. Das Migrationscenter sendet jedoch keine neuen Daten an StratoZone.