Untuk menentukan layanan yang dapat diakses dari jaringan di dalam perimeter layanan, gunakan fitur Layanan yang dapat diakses VPC. Fitur layanan yang dapat diakses VPC membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda.
Fitur layanan yang dapat diakses VPC hanya berlaku untuk traffic dari endpoint jaringan VPC Anda ke Google API. Tidak seperti perimeter layanan, fitur layanan yang dapat diakses VPC tidak berlaku untuk komunikasi dari satu Google API ke Google API lainnya, atau jaringan unit sewa, yang digunakan untuk menerapkan layanan Google Cloud tertentu.
Saat mengonfigurasi layanan yang dapat diakses VPC untuk perimeter, Anda dapat menentukan
daftar layanan individual, serta menyertakan nilai RESTRICTED-SERVICES, yang secara otomatis menyertakan semua layanan yang dilindungi oleh
perimeter.
Untuk memastikan akses ke layanan yang diharapkan sepenuhnya dibatasi, Anda harus:
Konfigurasikan perimeter untuk melindungi kumpulan layanan yang sama yang ingin Anda jadikan dapat diakses.
Konfigurasikan VPC di perimeter untuk menggunakan VIP yang dibatasi.
Gunakan firewall lapisan 3.
Contoh: Jaringan VPC dengan akses Cloud Storage saja
Anggap Anda memiliki perimeter layanan, my-authorized-perimeter, yang mencakup
dua project: my-authorized-compute-project dan my-authorized-gcs-project.
Perimeter melindungi layanan Cloud Storage.
my-authorized-gcs-project menggunakan sejumlah layanan, termasuk Cloud Storage, Bigtable, dan lainnya.
my-authorized-compute-project menghosting jaringan VPC.
Karena kedua project memiliki perimeter yang sama, jaringan VPC di
my-authorized-compute-project memiliki akses ke resource layanan di
my-authorized-gcs-project, terlepas dari apakah perimeter melindungi layanan
tersebut. Namun, Anda ingin jaringan VPC hanya memiliki
akses ke resource Cloud Storage di my-authorized-gcs-project.
Anda khawatir jika kredensial untuk VM di jaringan VPC Anda
dicuri, penyerang dapat memanfaatkan VM tersebut untuk mengeksfiltrasi data dari
layanan apa pun yang tersedia di my-authorized-gcs-project.
Anda telah mengonfigurasi jaringan VPC untuk menggunakan VIP terbatas, yang
membatasi akses dari jaringan VPC hanya ke API yang didukung oleh
Kontrol Layanan VPC. Sayangnya, hal ini tidak mencegah jaringan VPC Anda
mengakses layanan yang didukung, seperti resource Bigtable
di my-authorized-gcs-project.
Untuk membatasi akses jaringan VPC hanya ke layanan penyimpanan, Anda mengaktifkan layanan yang dapat diakses VPC dan menetapkan storage.googleapis.com sebagai layanan yang diizinkan:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Berhasil! Jaringan VPC di my-authorized-compute-project kini dibatasi untuk
hanya mengakses resource untuk layanan Cloud Storage. Batasan ini juga berlaku untuk project dan jaringan VPC apa pun yang nantinya Anda tambahkan ke perimeter.