Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls konfigurieren

Auf dieser Seite finden Sie eine Übersicht über VPC Service Controls, eine Google Cloud Funktion, die in AlloyDB integriert ist, um Daten und Ressourcen zu schützen.

VPC Service Controls hilft, das Risiko einer Daten-Exfiltration aus AlloyDB-Instanzen zu verringern. Mit VPC Service Controls können Sie Dienstperimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie explizit angeben.

Eine allgemeine Übersicht über VPC Service Controls, die damit verbundenen Sicherheitsvorteile und die Funktionen in den Google Cloud -Produkten finden Sie unter VPC Service Controls.

Hinweise

Rufen Sie in der Google Cloud Console die Seite Projektauswahl auf.

Zur Projektauswahl
Wählen Sie ein Google Cloud -Projekt aus oder erstellen Sie eines.
Hinweis:Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen und dadurch alle mit dem Projekt verknüpften Ressourcen entfernen.
Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist.
Aktivieren Sie die Compute Engine API.
Compute Engine-API aktivieren
Aktivieren Sie die Service Networking API.
Service Networking API aktivieren
Fügen Sie dem Nutzer- oder Dienstkonto, das Sie zum Einrichten und Verwalten von VPC Service Controls verwenden, die IAM-Rollen (Identity and Access Management) hinzu. Weitere Informationen finden Sie unter IAM-Rollen für die Verwaltung von VPC Service Controls.
Weitere Informationen zur Verwendung von VPC Service Controls mit AlloyDB finden Sie unter Einschränkungen.

AlloyDB-Dienst mit VPC Service Controls sichern

Lesen Sie zuerst die Übersicht über VPC Service Controls und die Einschränkungen für AlloyDB bei Verwendung von VPC Service Controls.

Die Konfiguration von VPC Service Controls für ein AlloyDB-Projekt umfasst die folgenden Schritte:

Dienstperimeter erstellen und verwalten

Zuerst wählen Sie das AlloyDB-Projekt aus, das durch den VPC-Dienstperimeter geschützt werden soll. Anschließend erstellen und verwalten Sie den Dienstperimeter.
Zugriffsebenen erstellen und verwalten

Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zu ermöglichen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen oder VMs die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Dienstperimeter erstellen und verwalten

So erstellen und verwalten Sie einen Dienstperimeter:

Wählen Sie das AlloyDB-Projekt aus, das durch den VPC-Dienstperimeter geschützt werden soll.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Fügen Sie dem Dienstperimeter weitere Instanzen hinzu. Wenn Sie dem Perimeter vorhandene AlloyDB-Instanzen hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Fügen Sie dem Dienstperimeter APIs hinzu. Um das Risiko der Daten-Exfiltration aus AlloyDB zu minimieren, müssen Sie die AlloyDB API, die Compute Engine API, die Cloud Storage API, die Container Registry API, die Certificate Authority Service API und die Cloud KMS API einschränken. Weitere Informationen finden Sie unter access-context-manager perimeters update.

So fügen Sie APIs als eingeschränkte Dienste hinzu:
Console
1. Rufen Sie in der Google Cloud -Console die Seite VPC Service Controls auf.
  Zu „VPC Service Controls“
2. Klicken Sie auf der Seite VPC Service Controls in der Tabelle auf den Namen des Dienstperimeters, den Sie ändern möchten.
3. Klicken Sie auf Bearbeiten.
4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
5. Fügen Sie die AlloyDB API, die Compute Engine API, die Cloud Storage API, die Container Registry API, die Certificate Authority Service API und die Cloud KMS API hinzu.
6. Klicken Sie auf Speichern.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
- POLICY_ID: Die ID der Zugriffsrichtlinie.
Wenn Sie erweiterte Suchanfragenstatistiken aktiviert haben, fügen Sie die databaseinsights.googleapis.com API als eingeschränkten Dienst zum Dienstperimeter hinzu:
Console
1. Rufen Sie in der Google Cloud -Console die Seite VPC Service Controls auf.
  Zu „VPC Service Controls“
2. Klicken Sie auf der Seite VPC Service Controls in der Tabelle auf den Namen des Dienstperimeters, den Sie ändern möchten.
3. Klicken Sie auf Bearbeiten.
4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
5. Fügen Sie databaseinsights.googleapis.com hinzu.
6. Klicken Sie auf Speichern.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
- POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebenen erstellen und verwalten

Wenn Sie Zugriffsebenen erstellen und verwalten möchten, folgen Sie der Anleitung unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.