Dokumen ini menjelaskan kasus penggunaan umum untuk pertukaran data yang aman dan contoh konfigurasi untuk mengizinkan akses antara klien dan resource yang dipisahkan oleh perimeter layanan.
Untuk ringkasan tentang aturan masuk dan keluar, lihat Aturan masuk dan keluar.
Untuk mengetahui petunjuk tentang cara mengonfigurasi kebijakan aturan masuk dan keluar, lihat Mengonfigurasi kebijakan masuk dan keluar.
Contoh konfigurasi kasus penggunaan pertukaran data yang aman
Bagian ini berisi contoh kasus penggunaan tentang pertukaran data dengan aman di seluruh perimeter layanan.
- Mengakses resource Google Cloud di luar perimeter
- Berbagi data menggunakan Pub/Sub antara dua organisasi yang menggunakan Kontrol Layanan VPC
- Membagikan data PHI anonim kepada organisasi partner
- Memberikan akses ke disk image Compute Engine pihak ketiga
- Membaca set data BigQuery dengan mengizinkan akses pribadi dari jaringan VPC di luar perimeter
- Memuat ke bucket Cloud Storage (tulis) dengan mengizinkan akses pribadi dari jaringan VPC di luar perimeter
- Membagikan log dalam perimeter terpisah dengan mengizinkan project dari beberapa perimeter untuk berbagi log
Mengakses resource Google Cloud di luar perimeter
Diagram berikut menunjukkan resource Compute Engine di dalam perimeter layanan yang memerlukan akses ke resource Cloud Storage, yang berada di luar perimeter:
Asumsikan bahwa Anda telah menentukan perimeter berikut:
name: accessPolicies/222/servicePerimeters/Example status: resources: - projects/111 restrictedServices: - bigquery.googleapis.com - containerregistry.googleapis.com - storage.googleapis.com title: Example
Anda perlu memberikan akses baca ke bucket Cloud Storage di project 999, yang berada di organisasi lain. Selanjutnya, Anda menentukan aturan keluar berikut dalam sebuah file dan menyimpan file tersebut sebagai gcs.yaml:
echo """
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/999
egressFrom:
identityType: ANY_IDENTITY
""" > gcs.yaml
Terapkan aturan traffic keluar dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Example --set-egress-policies=gcs.yaml
Untuk mengetahui informasi selengkapnya tentang perintah gcloud access-context-manager perimeters update, lihat gcloud access-context-manager perimeters update.
Berbagi data menggunakan Pub/Sub antara dua organisasi yang menggunakan Kontrol Layanan VPC
Diagram berikut menunjukkan dua organisasi, Org1 dan Org2, yang menggunakan Kontrol Layanan VPC dan berbagi data menggunakan topik Pub/Sub:
Asumsikan Anda telah menentukan perimeter berikut:
# Org 1 Perimeter Definition name: accessPolicies/222/servicePerimeters/Example1 status: resources: - projects/111 restrictedServices: - pubsub.googleapis.com title: Example1
# Org 2 Perimeter Definition name: accessPolicies/333/servicePerimeters/Example2 status: resources: - projects/222 restrictedServices: - pubsub.googleapis.com title: Example2
Untuk mengaktifkan pertukaran data, Org1 harus menentukan aturan keluar berikut yang mengizinkan langganan dan menyimpan file sebagai org1egress.yaml:
# Org1: Org1's perimeter must allow a Pub/Sub subscription to project 222.
echo """
- egressTo:
operations:
- serviceName: pubsub.googleapis.com
methodSelectors:
- method: Subscriber.CreateSubscription
resources:
- projects/222
egressFrom:
identityType: ANY_IDENTITY
""" > org1egress.yaml
Org2 harus menentukan aturan masuk terkait yang mengizinkan langganan dan
menyimpan file sebagai org2ingress.yaml.
# Org 2: Org2's perimeter must allow a Pub/Sub subscription from network
project 111 in Org1.
echo """
- ingressFrom:
identityType: ANY_IDENTITY
sources:
- resource: projects/111
ingressTo:
operations:
- serviceName: pubsub.googleapis.com
methodSelectors:
- method: Subscriber.CreateSubscription
resources:
- \"*\"
""" > org2ingress.yaml
Terapkan aturan masuk dan keluar dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Example2 1--set-egress-policies=org1egress.yaml
gcloud beta access-context-manager perimeters update Example1 1--set-ingress-policies=org2ingress.yaml
Membagikan data PHI anonim kepada organisasi partner
Diagram berikut menunjukkan perimeter di sekeliling segmen data Informasi Kesehatan Terlindungi (PHI), perimeter kedua di sekeliling segmen data anonim, dan organisasi partner terpisah. Segmen PHI dapat memanipulasi data dalam segmen data anonim dan data dari segmen data anonim dibagikan kepada organisasi partner.
Anda ingin menentukan aturan masuk dan keluar yang memungkinkan pembagian data anonim dengan organisasi partner dan mengizinkan segmen PHI Anda untuk memanipulasi data dalam segmen data anonim.
Asumsikan Anda telah menentukan perimeter berikut:
# PhiPerimeter
name: accessPolicies/222/servicePerimeters/PhiPerimeter
status:
resources:
- projects/111
restrictedServices:
- storage.googleapis.com
- bigquery.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: PhiPerimeter
# AnonPerimeter
name: accessPolicies/222/servicePerimeters/AnonPerimeter
status:
resources:
- projects/222
restrictedServices:
- storage.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: AnonPerimeter
Anda juga dapat mengasumsikan bahwa project organisasi partner adalah 999. Anda dapat menentukan aturan masuk dan keluar berikut:
# Anon Perimeter
echo """
- ingressFrom:
identityType: ANY_IDENTITY
sources:
- resource: projects/111
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.Write
- method: google.storage.objects.create
resources:
- \"*\"
""" > anoningress.yaml
echo """
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.Write
- method: google.storage.objects.create
resources:
- projects/999
egressFrom:
identityType: ANY_IDENTITY
""" > anonegress.yaml
# PHI Perimeter
echo """
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/222
egressFrom:
identityType: ANY_IDENTITY
""" > phiegress.yaml
Terapkan aturan masuk dan keluar dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update AnonPerimeter --set-ingress-policies=anoningress.yaml --set-egress-policies=anonegress.yaml
gcloud beta access-context-manager perimeters update PhiPerimeter --set-egress-policies=phiegress.yaml
Memberikan akses ke disk image Compute Engine pihak ketiga
Diagram berikut menunjukkan resource Compute Engine dalam perimeter layanan yang memerlukan akses ke disk image Compute Engine dalam project gambar pihak ketiga yang berada di luar perimeter:
Asumsikan bahwa Anda telah menentukan perimeter berikut:
name: accessPolicies/222/servicePerimeters/Example status: resources: - projects/111 - projects/222 restrictedServices: - compute.googleapis.com - containerregistry.googleapis.com title: Example
Anda kini harus memberikan akses baca ke disk image di project 999, yang berada di
organisasi yang berbeda. Anda kemudian menentukan aturan keluar berikut dalam sebuah file dan menyimpan file tersebut sebagai compute.yaml:
echo """
- egressTo:
operations:
- serviceName: compute.googleapis.com
methodSelectors:
- method: InstancesService.Insert
resources:
- projects/999
egressFrom:
identityType: ANY_IDENTITY
""" > compute.yaml
Terapkan aturan traffic keluar dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Example --set-egress-policies=compute.yaml
Membaca set data BigQuery dengan mengizinkan akses pribadi dari jaringan VPC di luar perimeter
Diagram berikut menunjukkan beberapa jaringan VPC partner di luar perimeter yang perlu membaca dari resource BigQuery di dalam perimeter:
Anda dapat mengasumsikan bahwa Anda menggunakan perimeter yang sama seperti contoh 1:
name: accessPolicies/222/servicePerimeters/Example status: resources: - projects/111 restrictedServices: - bigquery.googleapis.com - containerregistry.googleapis.com title: Example
Tujuan Anda adalah mengizinkan akses baca dari jaringan VPC di luar perimeter berbagai partner. Tentukan aturan masuk berikut dalam file, lalu simpan file tersebut sebagai partneringress.yaml:
echo """
- ingressFrom:
identityType: ANY_IDENTITY
sources:
- resource: projects/888
- resource: projects/999
ingressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- permission: bigquery.datasets.get
- permission: bigquery.tables.list
- permission: bigquery.tables.get
- permission: bigquery.tables.getData
- permission: bigquery.jobs.create
resources:
- \"*\"
""" > partneringress.yaml
Terapkan aturan masuk dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Example --set-ingress-policies=partneringress.yaml
Untuk mendapatkan fleksibilitas dan kontrol yang lebih besar, BigQuery menggunakan - permission: methodSelectors, bukan - method: methodSelectors yang digunakan oleh sebagian besar layanan. Satu metode BigQuery (RunQuery) dapat beroperasi dengan berbagai cara
di beberapa resource yang berbeda, dan menyelaraskan dengan model izin akan memungkinkan
fleksibilitas serta kontrol yang lebih besar.
Memuat ke bucket Cloud Storage (tulis) dengan mengizinkan akses pribadi dari jaringan VPC di luar perimeter
Anda dapat mengasumsikan bahwa Anda menggunakan perimeter yang sama seperti contoh 1:
name: accessPolicies/222/servicePerimeters/Example status: resources: - projects/111 restrictedServices: - storage.googleapis.com - containerregistry.googleapis.com title: Example
Tujuan Anda adalah mengizinkan akses dari jaringan VPC di luar perimeter untuk memungkinkan partner menulis data ke bucket di dalam perimeter. Anda menentukan aturan masuk dan menyimpan file sebagai partneringress.yaml:
echo """
- ingressFrom:
identityType: ANY_IDENTITY
sources:
- resource: projects/222
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.create
resources:
- \"*\"
""" > partneringress.yaml
Terapkan aturan masuk dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Example --set-ingress-policies=partneringress.yaml
Membagikan log dalam perimeter terpisah dengan mengizinkan project dari beberapa perimeter untuk berbagi log
Dalam kasus penggunaan ini, asumsikan bahwa perusahaan memiliki project bersama untuk pengumpulan data log dari seluruh deployment Google Cloud mereka. Perusahaan harus dapat mencatat data dari berbagai perimeter Kontrol Layanan VPC yang berbeda ke dalam project log bersama, yang berada di perimeternya sendiri. Project log tidak boleh mengakses resource apa pun selain log.
Asumsikan bahwa Anda telah menentukan tiga perimeter berikut:
# Sensitive 1
name: accessPolicies/222/servicePerimeters/Sensitive1
status:
resources:
- projects/111
restrictedServices:
- bigquery.googleapis.com
- containerregistry.googleapis.com
- logging.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Sensitive Data 1
# Sensitive 2
name: accessPolicies/222/servicePerimeters/Sensitive2
status:
resources:
- projects/222
restrictedServices:
- bigquery.googleapis.com
- containerregistry.googleapis.com
- logging.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Sensitive Data 2
#Logs
name: accessPolicies/222/servicePerimeters/Logs
status:
resources:
- projects/777
restrictedServices:
- logging.googleapis.com
vpcAccessibleServices:
enableRestriction: true
allowedServices:
- RESTRICTED_SERVICES
title: Logs Perimeter
Untuk mengizinkan Sensitive1 dan Sensitive2 menulis log ke perimeter Log, tentukan aturan traffic keluar berikut dalam file, lalu simpan file sebagai logsegress.yaml:
echo """
- egressTo:
operations:
- serviceName: logging.googleapis.com
methodSelectors:
- method: LoggingServiceV2.WriteLogEntries
- method: LoggingService.WriteLogEntries
resources:
- projects/777
egressFrom:
identityType: ANY_IDENTITY
""" > logsegress.yaml
Terapkan aturan traffic keluar dengan menjalankan perintah berikut:
gcloud beta access-context-manager perimeters update Sensitive1 --set-egress-policies=logsegress.yaml
gcloud beta access-context-manager perimeters update Sensitive2 --set-egress-policies=logsegress.yaml
Konfigurasi serupa dapat ditentukan untuk perimeter data sensitif lainnya yang perlu menulis ke perimeter log.
Langkah selanjutnya
- Mengonfigurasi kebijakan traffic masuk dan keluar
- Akses kontekstual dengan aturan masuk
- Aturan traffic masuk dan keluar