配置 VPC Service Controls

本页面简要介绍了 VPC Service Controls,这是一个与 AlloyDB 集成以保护数据和资源的 Google Cloud 功能。

VPC Service Controls 有助于降低 AlloyDB 实例中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,该边界可保护您明确指定的服务的资源和数据。

如需大致了解 VPC Service Controls、其安全优势以及跨 Google Cloud 产品的功能,请参阅 VPC Service Controls 概览

准备工作

  1. 在 Google Cloud 控制台中,前往项目选择器页面。

    转到“项目选择器”

  2. 选择或创建 Google Cloud 项目
  3. 确保您的 Google Cloud 项目已启用结算功能。 了解如何检查项目是否已启用结算功能
  4. 启用 Compute Engine API。

    启用 Compute Engine API

  5. 启用 Service Networking API。

    启用 Service Networking API

  6. Identity and Access Management (IAM) 角色添加到您用于设置和管理 VPC Service Controls 的用户或服务账号中。如需了解详情,请参阅用于管理 VPC Service Controls 的 IAM 角色
  7. 查看将 VPC Service Controls 与 AlloyDB 搭配使用时的限制

如何使用 VPC Service Controls 保护 AlloyDB 服务

在开始之前,请查看 VPC Service Controls 概览使用 VPC Service Controls 时的 AlloyDB 限制

为 AlloyDB 项目配置 VPC Service Controls 包括以下步骤:

  1. 创建和管理服务边界

    首先,选择您希望 VPC 服务边界保护的 AlloyDB 项目,然后创建和管理服务边界。

  2. 创建和管理访问权限级别

    (可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别为受保护的资源或虚拟机授予访问边界外的数据和服务的权限。

创建和管理服务边界

如需创建和管理服务边界,请完成以下步骤:

  1. 选择您希望 VPC 服务边界保护的 AlloyDB 项目。

  2. 按照创建服务边界中的说明创建服务边界。

  3. 向服务边界添加更多实例。如需将现有的 AlloyDB 实例添加到边界,请按照更新服务边界中的说明操作。

  4. 将 API 添加到服务边界。如需降低 AlloyDB 发生数据渗漏的风险,您必须限制 AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API 和 Cloud KMS API。如需了解详情,请参阅 access-context-manager perimeters update

    如需将 API 添加为受限服务,请执行以下操作:

    控制台

    1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

      转到 VPC Service Controls

    2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
    3. 点击修改
    4. 修改 VPC 服务边界页面上,点击添加服务
    5. 添加 AlloyDB APICompute Engine APICloud Storage APIContainer Registry APICertificate Authority Service APICloud KMS API
    6. 点击保存

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
    • PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
    • POLICY_ID:访问权限政策的 ID。

  5. 如果您启用了增强型 Query Insights,请将 databaseinsights.googleapis.com API 作为受限服务添加到服务边界:

    控制台

    1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

      转到 VPC Service Controls

    2. VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
    3. 点击修改
    4. 修改 VPC 服务边界页面上,点击添加服务
    5. 添加 databaseinsights.googleapis.com
    6. 点击保存

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
    • PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
    • POLICY_ID:访问权限政策的 ID。

创建和管理访问权限级别

如需创建和管理访问权限级别,请按照允许从边界外访问受保护的资源中的说明操作。