VPC Service Controls 可帮助您降低 Google Cloud 服务中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,该边界可帮助保护您明确指定的服务的资源和数据。
如需将 Looker (Google Cloud Core) 服务添加到 VPC Service Controls 服务边界,请按照创建服务边界文档页面上关于如何创建服务边界的说明操作,然后在指定要限制的服务对话框中选择 Looker (Google Cloud Core) API。如需详细了解如何使用 VPC Service Controls,请访问 VPC Service Controls 概览文档页面。
VPC Service Controls 支持满足以下两个条件的 Looker (Google Cloud Core) 实例:
所需的角色
如需了解设置 VPC Service Controls 所需的 IAM 角色,请访问 VPC Service Controls 文档的使用 IAM 进行访问权限控制页面。
移除默认路由
在 VPC Service Controls 边界内的项目中或添加到 VPC Service Controls 边界的项目中创建 Looker (Google Cloud Core) 实例时,您必须移除通向互联网的默认路由。 Google Cloud
如需移除通向互联网的默认路由,请选择以下选项之一:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
将 NETWORK 替换为 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问 gcloud services vpc-peerings enable-vpc-service-controls 文档页面。
REST
HTTP 方法和网址:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
请求 JSON 正文:
{
"consumerNetwork": NETWORK
}
将 NETWORK 替换为 Looker (Google Cloud Core) 实例的 VPC 网络。
如需了解详情,请访问方法:services.enableVpcServiceControls 文档页面。
连接到 VPC Service Controls 边界之外的资源或服务
如需连接到其他 Google Cloud 资源或服务,如果资源所在的项目位于 VPC Service Controls 边界之外,您可能需要设置入站流量和出站流量规则。
如需了解如何访问其他外部资源,请参阅 使用专用服务访问通道访问外部服务或 Looker (Google Cloud Core) 使用 Private Service Connect 对外部服务进行南向访问文档页面(具体取决于您的实例使用的是专用服务访问通道还是 Private Service Connect)。
向边界添加 CMEK 密钥
有时,启用了客户管理的加密密钥 (CMEK) 的 Looker (Google Cloud Core) 实例将 Cloud KMS 密钥托管在其他 Google Cloud 项目中。在这种情况下,启用 VPC Service Controls 时,必须将托管 KMS 密钥的项目添加到安全边界。