Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi Kontrol Layanan VPC

Halaman ini memberikan ringkasan tentang Kontrol Layanan VPC, Google Cloud fitur yang terintegrasi dengan AlloyDB untuk mengamankan data dan resource.

Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dari instance AlloyDB. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.

Untuk ringkasan umum Kontrol Layanan VPC, manfaat keamanannya, dan kemampuannya di berbagai produk, lihat Ringkasan Kontrol Layanan VPC. Google Cloud

Sebelum memulai

Di konsol Google Cloud , buka halaman Project Selector.

Buka pemilih project
Pilih atau buat Google Cloud project.
Catatan: Jika Anda tidak berencana untuk menyimpan resource yang Anda buat dalam prosedur ini, buatlah project, bukan memilih project yang ada. Setelah menyelesaikan langkah-langkah ini, Anda dapat menghapus project, yang menghapus semua resource yang terkait dengan project ini.
Pastikan penagihan diaktifkan untuk Google Cloud project Anda. Pelajari cara memeriksa apakah penagihan telah diaktifkan pada suatu project.
Aktifkan Compute Engine API.
Mengaktifkan Compute Engine API
Aktifkan Service Networking API.
Aktifkan Service Networking API
Tambahkan peran Identity and Access Management (IAM) ke akun pengguna atau layanan yang Anda gunakan untuk menyiapkan dan mengelola Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Peran IAM untuk mengelola Kontrol Layanan VPC.
Tinjau batasan saat Anda menggunakan Kontrol Layanan VPC dengan AlloyDB.

Cara mengamankan layanan AlloyDB menggunakan Kontrol Layanan VPC

Sebelum memulai, tinjau Ringkasan Kontrol Layanan VPC dan batasan AlloyDB saat menggunakan Kontrol Layanan VPC.

Mengonfigurasi Kontrol Layanan VPC untuk project AlloyDB mencakup langkah-langkah berikut:

Membuat dan mengelola perimeter layanan.

Pertama, Anda memilih project AlloyDB yang ingin dilindungi oleh perimeter layanan VPC, lalu Anda membuat dan mengelola perimeter layanan.
Membuat dan mengelola tingkat akses.

Secara opsional, untuk mengizinkan akses eksternal ke resource terlindungi di dalam perimeter, Anda dapat menggunakan tingkat akses. Tingkat akses hanya berlaku untuk permintaan resource terlindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin kepada resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter.

Membuat dan mengelola perimeter layanan

Untuk membuat dan mengelola perimeter layanan, selesaikan langkah-langkah berikut:

Pilih project AlloyDB yang ingin Anda lindungi dengan perimeter layanan VPC.
Buat perimeter layanan dengan mengikuti petunjuk di Membuat perimeter layanan.
Tambahkan lebih banyak instance ke perimeter layanan. Untuk menambahkan instance AlloyDB yang ada ke perimeter, ikuti petunjuk di Memperbarui perimeter layanan.
Tambahkan API ke perimeter layanan. Untuk mengurangi risiko data Anda dieksfiltrasi dari AlloyDB, Anda harus membatasi AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, dan Cloud KMS API. Untuk mengetahui informasi selengkapnya, lihat pembaruan perimeter access-context-manager.

Untuk menambahkan API sebagai layanan yang dibatasi:
Konsol
1. Di konsol Google Cloud , buka halaman VPC Service Controls.
  Buka Kontrol Layanan VPC
2. Di halaman VPC Service Controls, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
3. Klik Edit.
4. Di halaman Edit Perimeter Layanan VPC, klik Tambahkan Layanan.
5. Tambahkan AlloyDB API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, dan Cloud KMS API.
6. Klik Simpan.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: ID perimeter atau ID yang sepenuhnya memenuhi syarat untuk perimeter.
- POLICY_ID: ID kebijakan akses.
Jika Anda mengaktifkan insight kueri yang ditingkatkan, tambahkan databaseinsights.googleapis.com API ke perimeter layanan sebagai layanan terbatas:
Konsol
1. Di konsol Google Cloud , buka halaman VPC Service Controls.
  Buka Kontrol Layanan VPC
2. Di halaman VPC Service Controls, di tabel, klik nama perimeter layanan yang ingin Anda ubah.
3. Klik Edit.
4. Di halaman Edit Perimeter Layanan VPC, klik Tambahkan Layanan.
5. Tambahkan databaseinsights.googleapis.com.
6. Klik Simpan.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: ID perimeter atau ID yang sepenuhnya memenuhi syarat untuk perimeter.
- POLICY_ID: ID kebijakan akses.

Membuat dan mengelola tingkat akses

Untuk membuat dan mengelola tingkat akses, ikuti petunjuk di bagian Mengizinkan akses ke resource terlindungi dari luar perimeter.