VPC Service Controls 可帮助您降低未经授权从 Google 管理的服务复制或转移数据的风险。
借助 VPC Service Controls,您可以为 Google 管理的服务的资源配置服务边界,并控制跨边界的数据移动。
创建服务边界
如需创建服务边界,请按照 VPC Service Controls 指南创建服务边界。
设计服务边界时,请添加以下服务:
- Migration Center API (
migrationcenter.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
允许具有入站数据传输规则的流量
默认情况下,服务边界旨在防止从边界外的服务传入数据。如果您计划使用数据导入功能上传边界外的数据,或者使用资产识别客户端收集基础架构数据,请配置数据访问规则以允许此操作。
启用数据导入
如需启用数据导入,请使用以下语法指定入站数据传输规则:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
替换以下内容:
SERVICE_ACCOUNT:您用于将数据上传到迁移中心的每个产品、每个项目的服务账号,格式如下:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.其中,
PROJECT_NUMBER是您已启用 Migration Center API 的Google Cloud 项目的唯一标识符。 如需详细了解项目编号,请参阅标识项目。PROJECT_ID:您要将数据上传到的边界内项目的 ID。
您无法将 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 身份类型与签名网址搭配使用。如需了解详情,请参阅允许从边界外访问受保护的资源。
使用资产识别客户端启用数据收集
如需使用资产识别客户端启用数据收集,请使用以下语法指定入站数据传输规则:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
替换以下内容:
SERVICE_ACCOUNT:您用于创建发现客户端的服务账号。如需了解详情,请查看发现客户端安装流程。PROJECT_ID:您要将数据上传到的边界内项目的 ID。