使用 VPC Service Controls 设置服务边界
了解如何在 Google Cloud 控制台中使用 VPC Service Control 设置服务边界。
准备工作
我们建议您检查自己是否拥有管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。
如果您没有所需的 IAM 角色,请参阅管理对项目、文件夹和组织的访问权限,了解如何授予 IAM 角色。
设置 VPC Service Controls 边界
在以下部分中,您可以指定边界详情、添加要保护的项目和服务,以及创建边界。
添加 VPC Service Controls 边界详情
在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
如需使用默认访问权限政策创建新边界,请从项目选择器菜单中选择您的组织。
如果您的组织没有访问政策,请按以下步骤操作:
在 VPC Service Controls 页面上,点击管理政策。
在管理 VPC Service Controls 页面上,点击创建。
在创建访问权限政策页面上的访问权限政策标题字段中,输入
access_policy_1。点击创建访问权限政策。
在 VPC Service Controls 页面上,点击新建边界。
在创建服务边界页面的标题字段中,输入
perimeter_storage_services。对于边界类型和实施模式,保留默认选择。
点击继续。
将项目添加到边界中
如需将项目添加到边界中,请点击添加项目。
在添加项目窗格中,选择要添加到边界的项目,然后点击添加所选项目。
点击继续。
保护边界内的 BigQuery 和 Cloud Storage 服务
在受限的服务窗格中,点击添加服务。
在添加服务窗格中,选中 BigQuery 和 Cloud Storage API 对应的复选框。
如需查找服务,您可以使用过滤条件查询。
点击添加所选服务。
点击创建。
您刚刚创建了一个边界!您可以看到 VPC Service Controls 页面上列出了此边界。边界最长可能需要 30 分钟才能传播和生效。当更改传播后,只有您添加到边界中的项目才能访问 BigQuery 和 Cloud Storage 服务。
此外,您使用该边界保护的 BigQuery 和 Cloud Storage 服务的 Google Cloud 控制台界面可能会变得部分不可访问或完全不可访问。
清理
为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。
在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
在 VPC Service Controls 页面上,点击您创建的边界对应的行中的 删除。
在对话框中点击删除,以确认您想要删除该边界。
后续步骤
- 详细了解如何创建服务边界。
- 了解如何管理现有服务边界。
- 了解将特定服务与 VPC Service Controls 结合使用的限制。