您可以透過 VPC Service Controls,更有效地降低 Google Cloud 服務竊取資料的風險。您可以使用 VPC Service Controls 建立服務範圍,以便保護您明確指定的服務資源和資料。
如要將 Looker (Google Cloud core) 服務新增至 VPC Service Controls 服務範圍,請按照「建立服務範圍」說明文件頁面中的指示建立服務範圍,然後在「指定要限制的服務」對話方塊中選取「Looker (Google Cloud core) API」。如要進一步瞭解如何使用 VPC Service Controls,請參閱「VPC Service Controls 總覽」說明文件頁面。
VPC Service Controls 支援符合下列兩項條件的 Looker (Google Cloud Core) 執行個體:
必要的角色
如要瞭解設定 VPC Service Controls 時所需的 IAM 角色,請參閱 VPC Service Controls 說明文件中的「使用 IAM 控管存取權」頁面。
移除預設路徑
如果 Looker (Google Cloud 核心) 例項是在位於 VPC Service Controls 範圍內的 Google Cloud 專案中建立,或是在已新增至 VPC Service Controls 範圍的專案中建立,您必須移除通往網際網路的預設路徑。
如要移除通往網際網路的預設路徑,請選取下列任一選項:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
將 NETWORK 替換為 Looker (Google Cloud Core) 執行個體的 VPC 網路。
詳情請參閱 gcloud services vpc-peerings enable-vpc-service-controls 說明文件頁面。
REST
HTTP 方法和網址:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
JSON 要求內文:
{
"consumerNetwork": NETWORK
}
將 NETWORK 替換為 Looker (Google Cloud Core) 執行個體的 VPC 網路。
詳情請參閱「方法:services.enableVpcServiceControls」說明文件頁面。
連線至 VPC Service Controls 範圍以外的資源或服務
如果資源所在的專案位於 VPC Service Controls 範圍之外,您可能需要設定進出規則,才能連線至其他 Google Cloud 資源或服務。
如要瞭解如何存取其他外部資源,請參閱「使用私人服務存取權存取外部服務」或「使用 Private Service Connect 存取 Looker (Google Cloud Core) 南向外部服務」說明文件,並按照您要連線的資源類型操作說明進行操作 (取決於執行個體是否使用私人服務存取權或 Private Service Connect)。
將 CMEK 金鑰新增至範圍
有時,啟用客戶自行管理的加密金鑰 (CMEK) 的 Looker (Google Cloud Core) 執行個體會將 Cloud KMS 金鑰託管在不同的 Google Cloud 專案中。在這種情況下,啟用 VPC Service Controls 時,您必須將 KMS 金鑰代管專案新增至安全性範圍。