Mit VPC Service Controls können Sie das Risiko des nicht autorisierten Kopierens oder Übertragens von Daten aus Ihren von Google verwalteten Diensten verringern.
Mit VPC Service Controls können Sie Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Dienstperimeter erstellen
Folgen Sie der Anleitung VPC Service Controls-Leitfaden zum Erstellen eines Dienstperimeters, um einen Dienstperimeter zu erstellen.
Berücksichtigen Sie beim Entwerfen des Dienstperimeters die folgenden Dienste:
- Migrationscenter API (
migrationcenter.googleapis.com) - RMA API (
rapidmigrationassessment.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
Traffic mit Regeln für den eingehenden Datentransfer zulassen
Standardmäßig soll der Dienstperimeter eine eingehende Datenübertragung von Diensten außerhalb des Perimeters verhindern. Wenn Sie Daten von außerhalb des Perimeter mit dem Datenimport hochladen oder Ihre Infrastrukturdaten mit dem Discovery-Client erfassen möchten, müssen Sie die Datenzugriffsregeln entsprechend konfigurieren.
Datenimport aktivieren
Um den Datenimport zu aktivieren, geben Sie die Regeln für die Datenübertragung mit der folgenden Syntax an:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: das produkt- und projektspezifische Dienstkonto, mit dem Sie Daten in das Migration Center hochladen, im folgenden Format:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Hier ist
PROJECT_NUMBERdie eindeutige Kennung des Google Cloud-Projekts, in dem Sie die Migration Center API aktiviert haben. Weitere Informationen zu Projektnummern finden Sie unter Projekte identifizieren.PROJECT_ID: Die ID des Projekts innerhalb des Perimeter, in das Sie die Daten hochladen möchten.
Sie können die Identitätstypen ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht mit signierten URLs verwenden. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zulassen.
Datenerhebung mit Discovery-Client aktivieren
Um die Datenerhebung mit dem Discovery-Client zu aktivieren, geben Sie die Regeln für die Datenübertragung mit der folgenden Syntax an:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: das Dienstkonto, mit dem Sie den Discovery-Client erstellt haben. Weitere Informationen finden Sie unter Discovery-Client installieren.PROJECT_ID: Die ID des Projekts innerhalb des Perimeter, in das Sie die Daten hochladen möchten.
Beschränkungen
Wenn Sie den Dienstperimeter aktivieren, gelten die folgenden Einschränkungen.
StratoZone
StratoZone entspricht nicht den VPC Service Controls. Wenn Sie versuchen, die StratoZone-Integration mit dem Migrationscenter zu aktivieren, nachdem Sie den Dienstperimeter erstellt haben, erhalten Sie eine Fehlermeldung.
Wenn Sie die StratoZone-Integration jedoch aktiviert haben, bevor Sie den Dienstperimeter erstellt haben, können Sie weiterhin auf StratoZone und die bereits erfassten Daten zugreifen. Das Migrationscenter sendet jedoch keine neuen Daten an StratoZone.