本頁說明如何為 VPC Service Controls 服務範圍設定輸入和輸出政策。
您可以為現有安全防護範圍設定輸入和輸出政策,也可以在建立安全防護範圍時加入政策。
更新服務範圍的輸入和輸出政策
控制台
在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)。
選取現有的服務範圍。
按一下 [編輯]。
在「編輯服務範圍」頁面中,按一下「輸入政策」或「輸出政策」。
展開要編輯的連入或連出規則。
在「來源」和「目的地」部分中,編輯要變更的輸入或輸出規則屬性。
- 如需 Ingress 規則屬性清單,請參閱「Ingress 規則參考資料」。
- 如需輸出規則屬性清單,請參閱「輸出規則參考資料」。
YAML 屬性參照說明 Google Cloud 控制台中的相同屬性,但 Google Cloud 控制台使用的名稱略有不同。
按一下 [儲存]。
gcloud
」如要更新安全防護範圍政策,請執行下列任一指令,並將 variables 替換為適當的值:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml
例如:
gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml
在建立 perimeter 時設定輸入和輸出政策
控制台
在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)。
按一下「新增範圍」。
如要瞭解其他服務範圍設定,請參閱「建立服務範圍」。
在「建立服務範圍」頁面上,按一下「輸入政策」或「輸出政策」。
按一下 [新增規則]。
在「From」(來源)和「To」(目的地) 區段中,指定要設定的 Ingress 或 Egress 規則屬性。
- 如需 Ingress 規則屬性清單,請參閱「Ingress 規則參考資料」。
- 如需輸出規則屬性清單,請參閱「輸出規則參考資料」。
YAML 屬性參照說明 Google Cloud 控制台中的相同屬性,但 Google Cloud 控制台使用的名稱略有不同。
點選「建立」。
gcloud
」在建立重疊範圍時執行下列指令,即可建立輸入/輸出政策:
gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT" gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"
例如:
gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"