Unterstützte Connectors für Application Integration
VPC Service Controls für Application Integration einrichten
Mit VPC Service Controls können Sie einen Sicherheitsbereich um den Google Cloud-Dienst von Application Integration definieren. Mit dem Sicherheitsbereich um Ihren Dienst können Sie Daten innerhalb einer VPC einschränken und das Risiko einer Daten-Exfiltration minimieren. Wenn Sie noch nicht mit VPC Service Controls vertraut sind, sollten Sie die folgenden Informationen lesen:
- VPC Service Controls
- Details und Konfiguration von Dienstperimetern
- Zugriff auf VPC Service Controls gewähren
In diesem Dokument wird beschrieben, wie Sie einen VPC Service Controls-Perimeter für den Application Integration-Dienst einrichten. Nachdem Sie den Perimeter eingerichtet haben, können Sie Richtlinien für ausgehenden und eingehenden Traffic konfigurieren, die bestimmen, welche anderen Google Cloud-Dienste auf den Application Integration-Dienst (integrations.googleapis.com) zugreifen können und umgekehrt, auf welche Dienste der Application Integration-Dienst zugreifen kann.
Hinweise
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Konfigurieren von Dienstperimetern haben. Eine Liste der IAM-Rollen, die zum Konfigurieren von VPC Service Controls erforderlich sind, finden Sie unter Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.
VPC-Dienstperimeter erstellen
Zum Erstellen eines VPC-Dienstperimeters können Sie entweder den Befehl Google Cloud console
, den Befehl gcloud
oder die API accessPolicies.servicePerimeters.create
verwenden.
Weitere Informationen finden Sie unter Dienstperimeter erstellen.
Wenn Sie einen VPC Service Controls-Perimeter erstellen und dem Nutzer mit den gcloud
-Befehlen Zugriff gewähren möchten, führen Sie den folgenden Befehl aus:
gcloud access-context-manager perimeters create \ --title=PERIMETER_TITLE \ --resources=projects/PROJECT_ID \ --restricted-services=integrations.googleapis.com \
PERIMETER_TITLE
: der Name des VPC Service Controls-PerimetersPROJECT_ID
: das Projekt, für das Sie den VPC Service Controls-Perimeter hinzufügen möchten
Die Ausführung des vorherigen Befehls kann einige Zeit in Anspruch nehmen. Der VPC Service Controls-Perimeter schränkt Integrationsdienste für Ihr Projekt ein, wenn Sie die Application Integration-Dienste verwenden.
Wenn Sie zulassen möchten, dass beliebige IP-Adressen, Dienstkonten oder Nutzer Application Integration verwenden, verwenden Sie die Eingangs- und Ausgangsregeln. VPC Service Controls ermöglicht mithilfe von Regeln für ein- und ausgehenden Traffic den Zugriff auf die Ressourcen und Clients, die durch Dienstperimeter geschützt sind.
Richtlinie für ausgehenden Traffic einem vorhandenen Dienstperimeter hinzufügen
Verwenden Sie den Befehl gcloud access-context-manager perimeters update, um eine Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter hinzuzufügen. Mit dem folgenden Befehl wird beispielsweise eine in der Datei vpcsc-egress.yaml
definierte Richtlinie für ausgehenden Traffic zu einem vorhandenen Dienstperimeter mit dem Namen integrationPerimeter
hinzugefügt:
gcloud access-context-manager perimeters update integrationPerimeter --set-egress-policies=vpcsc-egress.yaml
Ähnlich wie bei einer Richtlinie für ausgehenden Traffic können Sie auch eine Richtlinie für eingehenden Traffic definieren. Weitere Informationen zum Festlegen von Regeln für eingehenden Traffic finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Perimeter prüfen
Verwenden Sie den Befehl gcloud access-context-manager perimeters describe PERIMETER_NAME, um den Perimeter zu prüfen. Der folgende Befehl beschreibt beispielsweise den Perimeter integrationPerimeter
:
gcloud access-context-manager perimeters describe integrationPerimeter
Weitere Informationen zum Verwalten von Dienstperimetern finden Sie unter Dienstperimeter verwalten.
Hinweise
Wenn Sie den VPC-Dienstperimeter für den Application Integration-Dienst aktiviert haben, können Sie die folgenden Aufgaben in Ihren Integrationen nicht verwenden:
- Apps Script-Aufgabe
- Aufgabe "REST-Endpunkt aufrufen"
- Cloud Functions Funktion-Aufgabe
- Aufgabe „E-Mail senden“