本指南介绍如何在 VPC Service Controls 边界内使用 Private Service Connect Secure Source Manager 来防范数据渗漏。
本指南适用于希望降低敏感数据丢失风险的网络管理员、安全架构师和云运维专业人员。
准备工作
所需的角色
如需获得在 VPC Service Controls 边界内配置 Secure Source Manager 所需的权限,请让管理员向您授予组织的以下 IAM 角色:
-
Access Context Manager Admin 角色 (
roles/accesscontextmanager.policyAdmin) -
Project Creator (
roles/resourcemanager.projectCreator)
遵循最佳做法
未谨慎启用 VPC Service Controls 可能会导致现有应用出现问题,并可能导致服务中断。我们建议您谨慎规划启用,并留出充裕的时间来收集数据、进行测试和分析违规日志。确保由 VPC Service Controls 运营团队和您的应用团队中的利益相关方负责执行任务。
如需详细了解最佳实践,请参阅启用 VPC Service Controls 的最佳实践
将项目添加到边界
在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
在 VPC Service Controls 页面上,选择要用于保护项目的边界。
在 VPC Service Control 强制执行的配置详情页面上,点击要保护的资源部分中的修改。
点击要保护的资源,然后添加您的项目 ID。
点击保存。
将 Secure Source Manager 添加为受限服务
在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
在 VPC Service Controls 页面上,选择您已将项目添加到的边界。
在 VPC Service Control 强制执行的配置详情页面上,点击受限的服务部分中的修改。
点击添加服务。
在指定要限制的服务对话框中,选中 Secure Source Manager 旁边的复选框。您可以使用过滤条件查询在列表中找到 Secure Source Manager。
点击保存。
更新了服务边界后,更改会在 30 分钟内传播和生效。在此期间,边界可能会阻止请求,并显示以下错误消息:
Error 403: Request is prohibited by organization's policy.
后续步骤
- 详细了解 Private Service Connect。
- 详细了解连接到没有外部 IP 地址的虚拟机。