VPC Service Controls 可帮助您降低未经授权从 Google 管理的服务复制或转移数据的风险。
借助 VPC Service Controls,您可以为 Google 管理的服务的资源配置服务边界,并控制跨边界的数据移动。
创建服务边界
如需创建服务边界,请按照 VPC Service Controls 指南创建服务边界。
设计服务边界时,请添加以下服务:
- Migration Center API (
migrationcenter.googleapis.com) - RMA API (
rapidmigrationassessment.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
使用入站数据传输规则允许流量
默认情况下,服务边界旨在防止来自边界外的服务的入站数据传输。如果您计划使用数据导入功能从外部上传数据,或使用发现客户端收集基础架构数据,请配置数据访问规则以允许执行此操作。
启用数据导入
如需启用数据导入,请使用以下语法指定入站数据传输规则:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
替换以下内容:
SERVICE_ACCOUNT:您用于将数据上传到迁移中心的每个产品、每个项目的服务账号,格式如下:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.其中
PROJECT_NUMBER是您启用 Migration Center API 的 Google Cloud 项目的唯一标识符。如需详细了解项目编号,请参阅标识项目。PROJECT_ID:您要将数据上传到的边界内项目的 ID。
您无法将 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 身份类型与已签名网址搭配使用。如需了解详情,请参阅允许从边界外部访问受保护的资源。
使用发现客户端启用数据收集
如需使用发现客户端启用数据收集,请使用以下语法指定入站数据传输规则:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
替换以下内容:
SERVICE_ACCOUNT:您用于创建发现客户端的服务账号。如需了解详情,请参阅资产识别客户端安装流程。PROJECT_ID:您要将数据上传到的边界内项目的 ID。
限制
启用服务边界时,存在以下限制。
StratoZone
StratoZone 不符合 VPC Service Controls 的要求。如果您在创建服务边界后尝试启用 StratoZone 与 Migration Center 的集成,则会收到错误消息。
不过,如果您在创建服务边界之前启用了 StratoZone 集成,则仍可以访问 StratoZone 和已收集的数据,但迁移中心不会向 StratoZone 发送任何新数据。