为 Private Service Connect 接口配置安全性

本页面介绍提供方网络管理员如何管理使用 Private Service Connect 接口的 VPC 网络中的安全性。

由于使用方 Private Service Connect 网络中存在 Private Service Connect 接口，因此提供方组织不会控制直接应用于该接口的防火墙规则。如果提供方组织想要确保使用方工作负载无法向提供方网络中的虚拟机发起流量，或者只有所选使用方工作负载可以发起流量，则他们必须在其接口虚拟机的客机操作系统中定义安全政策。

阻止使用方到提供方的入站流量

您可以使用 iptables 配置 Private Service Connect 接口，以阻止来自使用方网络的入站流量，但仍允许来自提供方网络的出站流量。此配置如图 1 所示。

此配置阻止了使用方流量通过 Private Service Connect 接口入站，但允许提供方的出站流量（点击可放大）。

如需配置 Private Service Connect 接口以阻止来自使用方网络的入站流量，但允许来自提供方网络的出站流量，请执行以下操作：

确保防火墙规则配置为允许入站流量 SSH 连接以连接到 Private Service Connect 接口的虚拟机。
连接到虚拟机。
如果 iptables 命令不可用，请安装它。
允许使用方回复流量进入 Private Service Connect 接口：
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
将 OS_INTERFACE_NAME 替换为 Private Service Connect 接口的客机操作系统名称，例如 ens5。
阻止使用方发起的流量通过 Private Service Connect 接口入站：
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

禁止创建 Private Service Connect 接口

如需创建 Private Service Connect 接口，用户必须具有 compute.instances.pscInterfaceCreate Identity and Access Management (IAM) 权限。以下预定义角色均包含此权限：

Compute Admin (roles/compute.admin)
Compute Instance Admin (v1) (roles/compute.instanceAdmin.v1)

如果您希望用户拥有与这些角色关联的权限，同时阻止该用户创建 Private Service Connect 接口，则可以创建自定义角色并将其授予该用户。为角色添加必要的权限。省略 compute.instances.pscInterfaceCreate 权限。

后续步骤

在具有 Private Service Connect 接口连接的网络中管理目的地重叠。