服务边界详情和配置

本页面介绍服务边界,并包括配置边界的概要步骤。

服务边界简介

本部分详细介绍服务边界的工作原理,以及实施边界和试运行边界之间的差异。

为了保护项目中的 Google Cloud 服务并降低数据渗漏的风险,您可以在项目或 VPC 网络级层指定服务边界。如需详细了解服务边界的优势,请参阅 VPC Service Controls 概览

此外,可以使用 VPC 可访问服务功能限制可从边界内部(例如从边界内托管的 VPC 网络中的虚拟机)访问的服务。

您可以在实施或试运行模式下配置 VPC Service Controls 边界。实施和试运行边界使用相同的配置步骤。不同之处在于,试运行边界会记录违规行为,虽然看起来已实施边界,但实际上并不会阻止对受限服务的访问。

实施模式

实施模式是服务边界的默认模式。服务边界实施时,违反边界政策的请求(例如从边界外向受限服务发出的请求)将被拒绝。

实施模式下的边界通过为边界配置内限制的服务实施边界,来保护 Google Cloud 资源。除非满足边界的必要入站和出站规则的条件,否则对受限服务的 API 请求不会跨边界。实施边界可以防范数据渗漏风险,例如凭据被盗、权限配置错误或有权访问项目的恶意内部人员。

试运行模式

在试运行模式下,违反边界政策的请求不会被拒绝,而只会被记录。试运行服务边界用于测试边界配置和监控服务使用情况,而不会阻止对资源的访问。以下是一些常见使用场景:

  • 确定更改现有服务边界时的影响。

  • 预览添加新服务边界时的影响。

  • 监控从服务边界外向受限服务发起的请求。例如,识别对给定服务的请求的来源,或识别组织中的意外服务使用情况。

  • 在与生产环境类似的开发环境中创建一个边界架构。在将更改提交到生产环境之前,您可以识别和缓解由服务边界引起的任何问题。

如需了解详情,请参阅试运行模式

服务边界配置的阶段

如需配置 VPC Service Controls,您可以使用 Google Cloud 控制台、gcloud 命令行工具Access Context Manager API

您可以按照以下简要步骤配置 VPC Service Controls:

  1. 创建访问权限政策。

  2. 使用服务边界保护 Google 管理的资源。

  3. 设置 VPC 可访问服务,为服务在边界内的使用方式添加其他限制(可选)。

  4. 从 VPC 网络设置专用连接(可选)。

  5. 使用入站流量规则允许从服务边界外进行情境感知访问(可选)。

  6. 使用入站流量和出站流量规则配置安全数据交换(可选)。

创建访问权限政策

访问权限政策收集您为您的组织创建的服务边界和访问权限级别。组织可以对整个组织设置一项访问权限政策,对文件夹和项目设置多项范围限定的访问权限政策。

您可以使用 Google Cloud 控制台、gcloud 命令行工具Access Context Manager API 创建访问权限政策

如需详细了解 Access Context Manager 和访问权限政策,请参阅 Access Context Manager 概览

使用服务边界保护 Google 管理的资源

服务边界用于保护您组织中的项目使用的服务。确定了要保护的项目和服务后,请创建一个或多个服务边界

如需详细了解服务边界的工作原理以及 VPC Service Controls 可用于保护哪些服务,请参阅 VPC Service Controls 概览

一些服务在如何与 VPC Service Controls 配合使用方面存在局限性。如果您在设置了服务边界后遇到项目相关问题,请参阅问题排查

设置 VPC 可访问服务

如果您对边界启用 VPC 可访问服务,则边界内部的网络端点将被限制为仅可访问您指定的一组服务。

如需详细了解如何将边界内的访问限制为仅可访问一组特定服务,请参阅 VPC 可访问服务

从 VPC 网络设置专用连接

要为受服务边界保护的 VPC 网络和本地主机提供额外的安全性,我们建议您使用专用 Google 访问通道。如需了解详情,请参阅来自本地网络的专用连接

如需了解如何配置专用连接,请参阅设置与 Google API 和服务的专用连接

如果只允许从 VPC 网络专属访问 Google Cloud 资源,则使用 Google Cloud 控制台和 Cloud Monitoring 控制台等界面进行的访问会遭到拒绝。您可以继续从与受限资源共用服务边界或边界网桥的 VPC 网络使用 gcloud 命令行工具或 API 客户端。

使用入站流量规则允许从服务边界外进行情境感知访问

您可以根据客户端特性允许对受边界限制的资源进行情境感知访问。您可以指定客户端特性,例如身份类型(服务账号或用户)、身份、设备数据和网络来源(IP 地址或 VPC 网络)。

例如,您可以设置入站流量规则,以根据 IPv4 和 IPv6 地址范围允许通过互联网对边界内的资源进行访问。如需详细了解如何使用入站流量规则设置情境感知访问权限,请参阅情境感知访问权限

使用入站流量和出站流量规则配置安全数据交换

您只能将您的项目添加到一个服务边界内。如果您想允许跨边界进行通信,请设置入站和出站规则。例如,您可以指定入站和出站规则,以允许多个边界中的项目在单独的边界中共享日志。如需详细了解安全数据交换使用场景,请参阅安全数据交换