Mengamankan data Anda dengan perimeter layanan

Kontrol Layanan VPC membantu Anda mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.

Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter layanan di sekitar resource layanan yang dikelola Google dan mengontrol pergerakan data di seluruh batas perimeter.

Membuat perimeter layanan

Untuk membuat perimeter layanan, ikuti panduan Kontrol Layanan VPC untuk membuat perimeter layanan.

Saat mendesain perimeter layanan, sertakan layanan berikut:

  • Migration Center API (migrationcenter.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Resource Manager API (cloudresourcemanager.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)

Mengizinkan traffic dengan aturan transfer data masuk

Secara default, perimeter layanan dirancang untuk mencegah transfer data masuk dari layanan di luar perimeter. Jika Anda berencana menggunakan impor data untuk mengupload data dari luar perimeter, atau menggunakan klien penemuan untuk mengumpulkan data infrastruktur Anda, konfigurasi aturan akses data untuk mengizinkannya.

Mengaktifkan impor data

Untuk mengaktifkan impor data, tentukan aturan transfer data masuk menggunakan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan per produk, per project yang Anda gunakan untuk mengupload data ke Migration Center, dengan format berikut: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Di sini, PROJECT_NUMBER adalah ID unik dari Google Cloud project tempat Anda mengaktifkan Migration Center API. Untuk mengetahui informasi selengkapnya tentang nomor project, lihat Mengidentifikasi project.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.

Anda tidak dapat menggunakan jenis identitas ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT dengan URL bertanda tangan. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Mengaktifkan pengumpulan data dengan klien penemuan

Untuk mengaktifkan pengumpulan data dengan klien penemuan, tentukan aturan transfer data masuk dengan sintaksis berikut:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Ganti kode berikut:

  • SERVICE_ACCOUNT: akun layanan yang Anda gunakan untuk membuat klien penemuan. Untuk mengetahui informasi selengkapnya, tinjau proses penginstalan klien penemuan.

  • PROJECT_ID: ID project di dalam perimeter tempat Anda ingin mengupload data.