VPC Service Controls 可協助您降低未經授權複製或轉移 Google 代管服務資料的風險。
透過 VPC Service Controls,您可以為 Google 代管服務的資源設定服務範圍,並控管跨範圍邊界的資料移動。
建立服務範圍
如要建立服務範圍,請按照 VPC Service Controls 服務範圍建立指南操作。
設計服務範圍時,請納入下列服務:
- 遷移中心 API (
migrationcenter.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Resource Manager API (
cloudresourcemanager.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
透過傳入資料轉移規則允許流量
根據預設,服務範圍的設計目的是防止從範圍外的服務傳輸輸入資料。如果您打算使用資料匯入功能上傳周邊以外的資料,或是使用探索用戶端收集基礎架構資料,請設定資料存取規則來允許這項操作。
啟用資料匯入功能
如要啟用資料匯入功能,請使用下列語法指定傳入資料傳輸規則:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
更改下列內容:
SERVICE_ACCOUNT:用於將資料上傳至遷移中心的每個產品/專案服務帳戶,格式如下:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.其中
PROJECT_NUMBER是啟用 Migration Center API 的Google Cloud 專案專屬 ID。如要進一步瞭解專案編號,請參閱「識別專案」。PROJECT_ID:您要將資料上傳至其中的安全防護範圍內專案 ID。
您無法將 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 身分類型與簽署網址搭配使用。詳情請參閱「允許從範圍外存取受保護的資源」。
啟用用戶資產評估器資料收集功能
如要啟用用戶資產評估器來收集資料,請使用下列語法指定輸入資料傳輸規則:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
更改下列內容:
SERVICE_ACCOUNT:您用來建立探索用戶端的服務帳戶。詳情請參閱用戶資產評估器安裝程序。PROJECT_ID:您要將資料上傳至其中的安全防護範圍內專案 ID。