Mit VPC Service Controls können Sie das Risiko des nicht autorisierten Kopierens oder Übertragens von Daten aus Ihren von Google verwalteten Diensten verringern.
Mit VPC Service Controls können Sie Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Dienstperimeter erstellen
Folgen Sie der Anleitung VPC Service Controls-Leitfaden zum Erstellen eines Dienstperimeters, um einen Dienstperimeter zu erstellen.
Berücksichtigen Sie beim Entwerfen des Dienstperimeters die folgenden Dienste:
- Migration Center API (
migrationcenter.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
Traffic mit Regeln für eingehenden Datentransfer zulassen
Standardmäßig ist der Dienstperimeter so konzipiert, dass die eingehende Datenübertragung von Diensten außerhalb des Perimeters verhindert wird. Wenn Sie Datenimport verwenden möchten, um Daten von außerhalb des Perimeters hochzuladen, oder den Discovery-Client zum Erfassen Ihrer Infrastrukturdaten verwenden möchten, konfigurieren Sie Datenzugriffsregeln, um dies zu ermöglichen.
Datenimport aktivieren
Geben Sie die Regeln für die eingehende Datenübertragung mit der folgenden Syntax an, um den Datenimport zu aktivieren:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: Das produkt- und projektspezifische Dienstkonto, das Sie zum Hochladen von Daten in Migration Center verwenden, im folgenden Format:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Dabei ist
PROJECT_NUMBERdie eindeutige Kennzeichnung desGoogle Cloud -Projekts, in dem Sie die Migration Center API aktiviert haben. Weitere Informationen zu Projektnummern finden Sie unter Projekte identifizieren.PROJECT_ID: Die ID des Projekts innerhalb des Perimeters, in das Sie die Daten hochladen möchten.
Sie können die Identitätstypen ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht mit signierten URLs verwenden. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zulassen.
Datenerhebung mit dem Discovery-Client aktivieren
Wenn Sie die Datenerfassung mit dem Discovery-Client aktivieren möchten, geben Sie die Regeln für die eingehende Datenübertragung mit der folgenden Syntax an:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ersetzen Sie Folgendes:
SERVICE_ACCOUNT: Das Dienstkonto, mit dem Sie den Discovery-Client erstellt haben. Weitere Informationen finden Sie unter Discovery-Client installieren.PROJECT_ID: Die ID des Projekts innerhalb des Perimeters, in das Sie die Daten hochladen möchten.