使用 VPC Service Controls 设置服务边界

了解如何在 Google Cloud 控制台中使用 VPC Service Controls 设置服务边界。

准备工作

我们建议您检查自己是否拥有管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色

如果您没有所需的 IAM 角色,请参阅管理对项目、文件夹和组织的访问权限,了解如何授予 IAM 角色。

设置 VPC Service Controls 边界

在以下部分中,您可以指定边界详情、添加要保护的项目和服务,以及创建边界。

添加 VPC Service Controls 边界详情

  1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. 如需使用默认访问权限政策创建新边界,请从项目选择器菜单中选择您的组织。

  3. VPC Service Controls 页面上,点击新建边界

  4. 新建 VPC 服务边界页面的边界名称框中,输入 perimeter_storage_services

  5. 边界类型配置类型部分中,保留默认设置。

将项目添加到边界

  1. 如需将项目添加到边界中,请从“新建 VPC 服务边界”导航菜单中点击项目
  2. 点击添加项目
  3. 添加项目对话框中,选择要添加到边界的项目,然后点击添加项目

  4. 点击完成

保护边界内的 BigQuery 和 Cloud Storage 服务

  1. 从“新建 VPC 服务边界”导航菜单中,点击受限服务
  2. 点击添加服务
  3. 指定要限制的服务对话框中,选中 BigQuery 和 Cloud Storage API 对应的复选框。

    如需查找服务,您可以使用过滤条件查询。

  4. 点击 Add 2 Services(添加 2 项服务)。

  5. 如需创建边界,请从“新建 VPC 服务边界”导航菜单中点击创建边界

您刚刚创建了一个边界!该边界将列在 VPC Service Controls 页面上。边界最长可能需要 30 分钟才能传播和生效。当更改传播后,只有您添加到边界中的项目才能访问 BigQuery 和 Cloud Storage 服务。

此外,您使用该边界保护的 BigQuery 和 Cloud Storage 服务的 Google Cloud 控制台界面可能会变得部分无法访问或完全无法访问。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。

  1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. VPC Service Controls 页面上,点击您创建的边界对应的行中的 删除

  3. 在对话框中点击删除,以确认您想要删除该边界。

后续步骤