Mit VPC Service Controls können Sie das Risiko nicht autorisierter Kopier- oder Übertragungen von Daten aus von Google verwalteten Diensten verringern.
Mit VPC Service Controls können Sie Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Dienstperimeter erstellen
Folgen Sie der Anleitung VPC Service Controls-Leitfaden zum Erstellen eines Dienstperimeters, um einen Dienstperimeter zu erstellen.
Schließen Sie beim Entwerfen des Dienstperimeters die folgenden Dienste ein:
- Migration Center API (
migrationcenter.googleapis.com) - RMA API (
rapidmigrationassessment.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
Traffic mit Regeln zur eingehenden Datenübertragung zulassen
Der Dienstperimeter ist standardmäßig so konzipiert, dass die eingehende Datenübertragung von Diensten außerhalb des Perimeters verhindert wird. Wenn Sie den Datenimport verwenden möchten, um Daten von außerhalb des Perimeters hochzuladen, oder den Discovery-Client zum Erfassen Ihrer Infrastrukturdaten verwenden, konfigurieren Sie die Datenzugriffsregeln entsprechend.
Datenimport aktivieren
Geben Sie die Regeln für die eingehende Datenübertragung mithilfe der folgenden Syntax an, um den Datenimport zu aktivieren:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: das produkt- und projektspezifische Dienstkonto, das Sie zum Hochladen von Daten in das Migrationscenter im folgenden Format verwenden:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Dabei ist
PROJECT_NUMBERdie eindeutige Kennung des Google Cloud-Projekts, in dem Sie die Migration Center API aktiviert haben. Weitere Informationen zu Projektnummern finden Sie unter Projekte identifizieren.PROJECT_ID: die ID des Projekts innerhalb des Perimeters, in das Sie die Daten hochladen möchten.
Sie können die Identitätstypen ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht mit signierten URLs verwenden. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zulassen.
Datenerhebung mit Discovery-Client aktivieren
Geben Sie die Regeln für die eingehende Datenübertragung mit der folgenden Syntax an, um die Datenerhebung mit dem Discovery-Client zu aktivieren:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: das Dienstkonto, mit dem Sie den Discovery-Client erstellt haben. Weitere Informationen finden Sie unter Installationsprozess für Discovery-Clients.PROJECT_ID: die ID des Projekts innerhalb des Perimeters, in das Sie die Daten hochladen möchten.
Beschränkungen
Wenn Sie den Dienstperimeter aktivieren, gelten die folgenden Einschränkungen.
StratoZone
StratoZone ist nicht mit VPC Service Controls konform. Wenn Sie versuchen, die StratoZone-Integration mit dem Migrationscenter nach dem Erstellen des Dienstperimeters zu aktivieren, erhalten Sie eine Fehlermeldung.
Wenn Sie die StratoZone-Integration jedoch vor dem Erstellen des Dienstperimeters aktiviert haben, können Sie weiterhin auf StratoZone und die bereits erfassten Daten zugreifen. Das Migrationscenter sendet jedoch keine neuen Daten an StratoZone.
Berichte exportieren
Der detaillierte Preisbericht kann im Dienstperimeter nicht exportiert werden.