使用 VPC Service Controls 設定服務範圍
瞭解如何在 Google Cloud 控制台使用 VPC Service Controls 設定服務範圍。
事前準備
建議您檢查是否具備管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。
如果沒有必要的 IAM 角色,請參閱「管理專案、資料夾和機構的存取權」,瞭解如何授予 IAM 角色。
設定 VPC Service Controls 範圍
在下列各節中,您將指定範圍詳細資料、新增要保護的專案和服務,以及建立範圍。
新增 VPC Service Controls 範圍詳細資料
在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。
如要使用預設的存取權政策來建立新的範圍,請從專案選取器選單中選取您的機構。
如果貴機構沒有存取權政策,請按照下列步驟操作:
在「VPC Service Controls」頁面上,按一下「Manage policies」(管理政策)。
在「管理 VPC Service Controls」頁面上,按一下「建立」。
在「建立存取權政策」頁面的「存取權政策標題」欄位中,輸入
access_policy_1。按一下「建立存取政策」。
在「VPC Service Controls」頁面上,按一下「New perimeter」(新增範圍)。
在「建立服務範圍」頁面的「標題」欄位中,輸入
perimeter_storage_services。保留「範圍類型」和「強制執行模式」的預設選項。
按一下「繼續」。
將專案新增至範圍
如要將專案新增至範圍,請按一下「新增專案」。
在「Add Projects」(新增專案) 窗格中,選取要新增至範圍的專案,然後按一下「Add selected projects」(新增所選專案)。
按一下「繼續」。
保護範圍內的 BigQuery 和 Cloud Storage 服務
在「受限制的服務」窗格中,按一下「新增服務」。
在「新增服務」窗格中,勾選 BigQuery 和 Cloud Storage API 的核取方塊。
如要尋找服務,可使用篩選查詢。
按一下「新增所選服務」。
點選「建立」。
您剛建立了一個範圍!您可以在「VPC Service Controls」頁面查看列出的範圍。範圍最多可能需要 30 分鐘才能全面生效。變更生效後,只有您已新增至範圍的專案才能存取 BigQuery 和 Cloud Storage 服務。
此外,針對您透過範圍保護的 BigQuery 和 Cloud Storage 服務,其 Google Cloud 主控台介面可能會變成部分甚至完全無法存取。
清除所用資源
如要避免系統向您的 Google Cloud 帳戶收取本頁所用資源的費用,請按照下列步驟操作。
在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中找到您建立的範圍,然後在相應的列中按一下「Delete」(刪除)。
按一下對話方塊中的「Delete」(刪除),確認要刪除這個範圍。
後續步驟
- 進一步瞭解如何建立 service perimeter。
- 進一步瞭解如何管理現有的 service perimeter。
- 進一步瞭解搭配 VPC Service Controls 使用特定服務的限制。