VPC Service Controls für Application Integration einrichten

Mit VPC Service Controls können Sie einen Sicherheitsbereich um den Google Cloud-Dienst von Application Integration definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb einer VPC einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:

In diesem Dokument wird beschrieben, wie Sie einen VPC Service Controls-Perimeter für den Application Integration-Dienst einrichten. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien für ausgehenden und eingehenden Traffic konfigurieren, die bestimmen, welche anderen Google Cloud-Dienste auf den Application Integration-Dienst (integrations.googleapis.com) zugreifen können und umgekehrt, auf welche Dienste der Application Integration-Dienst zugreifen kann.

Hinweise

Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von Dienstperimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.

VPC-Dienstperimeter erstellen

Zum Erstellen eines VPC-Dienstperimeters können Sie entweder den Befehl Google Cloud console, den Befehl gcloud oder die API accessPolicies.servicePerimeters.create verwenden. Weitere Informationen finden Sie unter Dienstperimeter erstellen. Wenn Sie einen VPC Service Controls-Perimeter erstellen und dem Nutzer mit den gcloud-Befehlen Zugriff gewähren möchten, führen Sie den folgenden Befehl aus:

gcloud access-context-manager perimeters create  \
    --title=PERIMETER_TITLE \
    --resources=projects/PROJECT_ID \
    --restricted-services=integrations.googleapis.com \

Ersetzen Sie Folgendes:

PERIMETER_TITLE: der Name des VPC Service Controls-Perimeters
PROJECT_ID: das Projekt, für das Sie den VPC Service Controls-Perimeter hinzufügen möchten

Die Ausführung des vorherigen Befehls kann einige Zeit in Anspruch nehmen. Der VPC Service Controls-Perimeter schränkt Integrationsdienste für Ihr Projekt ein, wenn Sie die Application Integration-Dienste verwenden.

Wenn Sie zulassen möchten, dass beliebige IP-Adressen, Dienstkonten oder Nutzer Application Integration verwenden, verwenden Sie die Eingangs- und Ausgangsregeln. VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind.

Richtlinie für ausgehenden Traffic einem vorhandenen Dienstperimeter hinzufügen

Verwenden Sie den Befehl gcloud access-context-manager perimeters update, um eine Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter hinzuzufügen. Mit dem folgenden Befehl wird beispielsweise eine in der Datei vpcsc-egress.yaml definierte Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter mit dem Namen integrationPerimeter hinzugefügt:

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

Ähnlich wie bei einer Richtlinie für ausgehenden Traffic können Sie auch eine Richtlinie für eingehenden Traffic definieren. Weitere Informationen zum Festlegen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.

Perimeter prüfen

Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Der folgende Befehl beschreibt beispielsweise den Perimeter integrationPerimeter:

gcloud access-context-manager perimeters describe integrationPerimeter

Weitere Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.

Hinweise

Wenn Sie den VPC-Dienstperimeter für den Application Integration-Dienst aktiviert haben, können Sie die folgenden Aufgaben in Ihren Integrationen nicht verwenden:

Nächste Schritte

Informieren Sie sich darüber, wie VPC Service Controls Ihre Daten schützt.