在 VPC Service Controls 範圍中設定 Secure Source Manager

本指南說明如何在 VPC Service Controls 範圍內使用 Private Service Connect Secure Source Manager，防範資料竊取。

本指南適用於網路管理員、安全架構師和雲端作業專業人員，可協助他們降低機密資料遺失的風險。

事前準備

1. 建立 Private Service Connect Secure Source Manager 執行個體。
2. 建立 VPC Service Controls 範圍。

必要的角色

如要在 VPC Service Controls 範圍內設定 Secure Source Manager，請管理員在機構中授予下列 IAM 角色：

• Access Context Manager 管理員角色 (roles/accesscontextmanager.policyAdmin)
• 專案建立者 (roles/resourcemanager.projectCreator)

奉行最佳做法

如果未謹慎啟用 VPC Service Controls，可能會導致現有應用程式發生問題，甚至可能造成服務中斷。建議您仔細規劃啟用作業，並預留充足時間收集資料、進行測試及分析違規記錄。請確保 VPC Service Controls 營運團隊和應用程式團隊的利害關係人都能參與這項工作。

如要進一步瞭解最佳做法，請參閱「啟用 VPC Service Controls 的最佳做法」。

將專案新增至範圍

1. 在 Google Cloud 控制台中，前往「VPC Service Controls」頁面。

   前往 VPC Service Controls

2. 在「VPC Service Controls」頁面中，選取要用來保護專案的範圍。

3. 在「VPC Service Control 強制執行設定詳細資料」頁面，按一下「要保護的資源」部分中的「編輯」。

4. 按一下「要保護的資源」，然後新增專案 ID。

5. 按一下 [儲存]。

將 Secure Source Manager 新增為受限制的服務

1. 在 Google Cloud 控制台中，前往「VPC Service Controls」頁面。

   前往 VPC Service Controls

2. 在「VPC Service Controls」頁面中，選取您將專案新增至其中的範圍。

3. 在「VPC Service Control enforced config detail」頁面的「Restricted services」(受限服務) 專區中，按一下「Edit」。

4. 按一下「新增服務」。

5. 在「Specify services to restrict」(指定要限制的服務) 對話方塊中，勾選 Secure Source Manager 旁的核取方塊。您可以使用篩選查詢，在清單中找出 Secure Source Manager。

6. 按一下 [儲存]。

更新服務範圍後，變更最多可能需要 30 分鐘才會生效。在這段期間，安全防護範圍可能會封鎖要求，並顯示下列錯誤訊息：

Error 403: Request is prohibited by organization's policy.

後續步驟

• 進一步瞭解 Private Service Connect。
• 進一步瞭解如何連線至沒有外部 IP 位址的 VM。