Aturan masuk dan keluar

Halaman ini menjelaskan aturan masuk dan keluar untuk Kontrol Layanan VPC. Kontrol Layanan VPC menggunakan aturan ingress dan egress untuk mengizinkan akses ke dan dari resource serta klien yang dilindungi oleh perimeter layanan.

Blok aturan ingress dan egress menentukan arah akses yang diizinkan ke dan dari berbagai identitas dan resource. Aturan masuk dan keluar dapat menggantikan dan menyederhanakan kasus penggunaan yang sebelumnya memerlukan satu atau beberapa jembatan perimeter.

Untuk mempelajari cara menerapkan kebijakan traffic masuk dan keluar ke perimeter layanan, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

Anda dapat mengonfigurasi grup identitas dan identitas pihak ketiga serta peran IAM (Pratinjau) dalam aturan ingress dan egress.

Untuk mengetahui daftar kasus penggunaan dan contoh pertukaran data yang aman, lihat Pertukaran data yang aman dengan aturan masuk dan keluar.

Untuk mengetahui daftar kasus penggunaan dan contoh akses kontekstual, lihat Akses kontekstual dengan aturan masuk.

Manfaat aturan masuk dan keluar

1. Aturan masuk dan keluar memungkinkan Anda bertukar data secara pribadi dan efisien di dalam dan di seluruh organisasi menggunakan API layanan Google Cloud .
2. Aturan masuk dan keluar memungkinkan Anda memberikan akses ke Google Cloud resource dalam perimeter berdasarkan konteks permintaan API:
   1. Membatasi jenis identitas atau identitas yang dapat digunakan berdasarkan jaringan sumber, alamat IP, atau perangkat.
   2. Membatasi Google Cloud API dan metode yang dapat diakses berdasarkan jaringan sumber, alamat IP, perangkat, dan jenis identitas.
3. Minimalkan risiko pemindahan data yang tidak sah dengan membatasi layanan, metode, Google Cloud project, jaringan VPC, dan identitas yang tepat yang digunakan untuk menjalankan pertukaran data.
4. Memberikan akses hanya baca ke set data dan gambar eksternal yang tidak dikelola oleh Anda.
5. Pastikan klien dalam segmen dengan hak istimewa lebih rendah tidak memiliki akses ke Google Cloud resource dalam segmen dengan hak istimewa lebih tinggi; sekaligus mengizinkan akses ke arah lain.
6. Menyederhanakan konfigurasi yang sebelumnya memerlukan satu atau beberapa jembatan perimeter.

Definisi masuk dan keluar

Definisi ingress dan egress tidak bergantung pada operasi yang dipanggil pada resource. Oleh karena itu, definisi mengacu pada arah permintaan, bukan arah pergerakan data.

• Traffic masuk: Merujuk pada akses apa pun oleh klien API dari luar perimeter layanan ke resource dalam perimeter layanan. Contoh:

  • Klien Cloud Storage di luar perimeter layanan yang memanggil operasi baca, tulis, atau salin Cloud Storage pada resource Cloud Storage dalam perimeter.

• Traffic Keluar (Egress) Merujuk pada akses apa pun yang melibatkan klien API atau resource dalam perimeter layanan dan resource di luar perimeter layanan. Contoh:

  • Klien Compute Engine dalam perimeter layanan memanggil operasi create Compute Engine dengan resource image di luar perimeter.
  • Klien Cloud Storage – di dalam atau di luar perimeter – yang memanggil perintah copy dengan satu bucket berada di dalam perimeter dan bucket lainnya berada di luar perimeter.

Model kebijakan

Aturan masuk atau keluar terdiri dari blok from dan to dengan:

• from mereferensikan atribut klien API.
• to mereferensikan atribut layanan dan resource Google Cloud .

Beberapa aturan masuk dan keluar dapat dikaitkan dengan perimeter layanan. Panggilan layanan Google Cloud diizinkan atau ditolak berdasarkan semantik berikut:

• Permintaan dari klien di luar perimeter ke Google Cloud resource di dalam perimeter diizinkan jika kondisi aturan masuk yang diperlukan terpenuhi.
• Permintaan dari klien dalam perimeter ke Google Cloud resource di luar perimeter diizinkan jika kondisi aturan keluar yang diperlukan terpenuhi.
• Panggilan API yang melibatkan resource Google Cloud dalam perimeter dan resource Google Cloud di luar perimeter diizinkan jika ada aturan masuk yang dipenuhi klien (jika klien tidak berada dalam perimeter), dan aturan keluar yang dipenuhi resource eksternal.

Contoh permintaan API yang diizinkan oleh aturan traffic masuk

• Klien Cloud Storage di luar perimeter mendownload objek dari bucket Cloud Storage di dalam perimeter ke komputer lokal (misalnya, menggunakan perintah gcloud storage cp).
• Klien BigQuery di luar perimeter menggunakan tugas BigQuery dalam project di dalam perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya menggunakan perintah bq query).
• VM Compute Engine di jaringan VPC yang berada di luar perimeter menulis ke bucket Cloud Storage di dalam perimeter.

Contoh permintaan API yang diizinkan oleh aturan traffic keluar

• Klien Cloud Storage di dalam perimeter menyalin objek antara bucket Cloud Storage di luar perimeter dan bucket di dalam perimeter (misalnya menggunakan perintah gcloud storage cp).

• Klien BigQuery di dalam perimeter menggunakan tugas BigQuery dalam project di luar perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya menggunakan perintah bq query).

Contoh permintaan API yang diizinkan oleh kombinasi aturan masuk dan keluar

• Klien Cloud Storage di luar perimeter menyalin objek antara bucket Cloud Storage di luar perimeter dan bucket di dalam perimeter (misalnya menggunakan perintah gcloud storage cp).
• Klien BigQuery di luar perimeter menggunakan tugas BigQuery dalam project di luar perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya menggunakan perintah bq query).
• Klien Compute Engine di luar perimeter membuat disk Compute Engine di luar perimeter menggunakan kunci Cloud KMS di dalam perimeter.

Dalam contoh BigQuery dan Compute Engine, aturan ingress tidak cukup, karena tugas BigQuery atau disk Compute Engine berada di luar perimeter. Aturan keluar diperlukan untuk mengizinkan permintaan API yang melibatkan resource di dalam perimeter (set data BigQuery atau kunci Cloud KMS) dan resource di luar perimeter (tugas BigQuery atau disk Compute Engine). Google Cloud

Permintaan API yang melibatkan beberapa perimeter layanan

Jika resource yang diakses dan/atau klien API termasuk dalam perimeter layanan yang berbeda, kebijakan semua perimeter yang terlibat harus mengizinkan permintaan API. Misalnya, pertimbangkan klien dan bucket Cloud Storage a dalam perimeter layanan A dan bucket b dalam perimeter layanan B. Dalam contoh ini, agar klien Cloud Storage dapat menyalin objek dari bucket a ke bucket b dan dari bucket b ke bucket a, aturan masuk dan keluar berikut diperlukan:

• aturan traffic keluar di perimeter A untuk mengizinkan akses ke bucket Cloud Storage b ,
• aturan traffic keluar di perimeter B untuk mengizinkan akses ke bucket Cloud Storage a,
• aturan masuk di perimeter B untuk mengizinkan akses bagi klien Cloud Storage yang berada di luar perimeter B.

Referensi aturan masuk

Aturan ingress dapat dikonfigurasi menggunakan Google Cloud konsol, file JSON, atau file YAML. Contoh berikut menggunakan format .yaml:

- ingressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
  title: TITLE

• - ingressFrom: - (Wajib) Memulai blok from yang mencantumkan sumber dan identitas yang diizinkan di luar perimeter.

• identityType: - (Atribut ini atau atribut identities harus digunakan) Atribut ini menentukan jenis identitas yang dapat digunakan dari sources (asal jaringan) yang ditentukan. Nilai yang dapat diterima: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY mengizinkan permintaan dari semua identitas, termasuk permintaan yang tidak diautentikasi. ANY_USER_ACCOUNT mengizinkan semua pengguna manusia, dan ANY_SERVICE_ACCOUNT mengizinkan semua akun layanan, tetapi ANY_USER_ACCOUNT dan ANY_SERVICE_ACCOUNT tidak mengizinkan permintaan yang tidak diautentikasi.

  Atribut ini tidak membatasi identitas berdasarkan organisasi. Misalnya, ANY_SERVICE_ACCOUNT mengizinkan akun layanan dari organisasi mana pun.

• identities: - (Atribut ini atau atribut identityType harus digunakan) Atribut ini memulai daftar akun layanan, akun pengguna, grup Google, atau identitas pihak ketiga yang dapat mengakses resource dalam perimeter.

• PRINCIPAL_IDENTIFIER: Tentukan akun pengguna, akun layanan, grup Google, atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Gunakan format yang ditentukan dalam ID Utama v1 API IAM. Misalnya, gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.

  VPC Service Controls hanya mendukung identitas v1 yang diawali dengan user, serviceAccount, group, principal, dan principalSet dalam ID Akun Utama API v1 IAM.

• sources: - (Wajib) Atribut ini merujuk ke daftar asal jaringan. Setiap nilai dalam daftar adalah tingkat akses atau project Google Cloud . Jika Anda menyetel atribut accessLevel ke *, kebijakan ingress akan mengizinkan akses dari asal jaringan mana pun. Jika Anda menyetel atribut ini ke Google Cloud project, kebijakan ingress akan mengizinkan akses dari jaringan VPC yang merupakan milik project tersebut.

  Nilai ini dapat dihapus saat project terkait dihapus secara permanen. Namun, penghapusan nilai ini tidak menyebabkan error. Selalu periksa apakah nilai ini ada saat memecahkan masalah.

• - resource: - (Gunakan atribut ini atau atribut accessLevel) Menentukan project atau jaringan VPC dari luar perimeter yang ingin Anda berikan aksesnya. Untuk menentukan project, gunakan format berikut: projects/PROJECT_NUMBER. Untuk menentukan jaringan VPC, gunakan format berikut: //compute.googleapis.com/projects/PROJECT_ID/global/networks/NETWORK_NAME.

• - accessLevel: - (Atribut ini atau atribut resource harus digunakan) Menentukan tingkat akses dari luar perimeter yang diberikan aksesnya. Jika Anda menyetel atribut accessLevel ke *, kebijakan ingress akan mengizinkan akses dari semua origin jaringan.

• ingressTo: - (Wajib) Memulai blok to yang mencantumkan operasi layanan yang diizinkan pada resource Google Cloud tertentu dalam perimeter.

• operations: - (Atribut ini atau atribut roles harus digunakan) Menandai awal daftar layanan dan tindakan/metode yang dapat diakses dan diizinkan untuk diakses oleh klien yang memenuhi kondisi blok from.

• - serviceName: - (Wajib) Kolom ini dapat berupa nama layanan yang valid atau ditetapkan ke * untuk mengizinkan akses ke semua layanan. Misalnya, bigquery.googleapis.com adalah serviceName yang valid. Untuk daftar layanan yang tersedia, lihat Produk yang didukung.

• methodSelectors: - (Wajib jika serviceName bukan *) Awal daftar metode yang diizinkan untuk diakses oleh klien yang memenuhi kondisi blok from. Untuk mengetahui daftar metode dan izin yang dapat dibatasi untuk layanan, lihat Pembatasan metode layanan yang didukung.

  Untuk mengetahui daftar metode layanan yang tidak dapat dikontrol oleh Kontrol Layanan VPC, lihat Pengecualian metode layanan.

• - method: - (Atribut ini atau atribut permission harus digunakan) Kolom ini dapat berupa metode layanan yang valid, atau dapat ditetapkan ke * untuk mengizinkan akses ke semua metode layanan yang ditentukan.

• - permission: - (Atribut ini atau atribut method harus digunakan) Kolom ini harus berupa izin layanan yang valid. Akses ke resource di dalam perimeter diizinkan untuk operasi yang memerlukan izin.

  Jika permintaan ke resource memerlukan beberapa izin, Anda harus menentukan semua izin yang diperlukan dalam operasi yang sama agar aturan ingress berfungsi. Misalnya, jika permintaan ke resource BigQuery memerlukan izin bigquery.jobs.create dan bigquery.tables.create, Anda harus menentukan kedua izin ini dalam operasi yang sama. Selain itu, jika Anda menentukan izin beberapa kali untuk resource yang sama menggunakan konsolGoogle Cloud , izin tidak dibuat dalam operasi yang sama. Untuk menghindari masalah ini, tentukan semua izin sekaligus untuk resource.

• roles:: (Atribut ini atau atribut operations harus digunakan) Atribut ini merujuk ke daftar peran IAM yang menentukan cakupan akses untuk layanan yang ditentukan dalam aturan.

• ROLE_NAME: Tentukan satu peran atau kombinasi peran yang mencakup semua izin yang diperlukan untuk mengakses layanan. Untuk menentukan peran, gunakan format nama peran yang disebutkan dalam Komponen peran, kecuali format berikut: projects/PROJECT_ID/roles/IDENTIFIER.

  Untuk mengetahui informasi tentang layanan dan peran yang didukung, lihat Produk yang didukung.

• resources: - (Wajib) Atribut ini menentukan daftar resourceGoogle Cloud di Perimeter Layanan yang dapat diakses oleh klien di luar perimeter. Kolom ini dapat disetel ke * untuk mengizinkan akses ingress ke resource Google Cloud apa pun di dalam perimeter.

• title: - (Opsional) Atribut ini menentukan judul aturan ingress. Judul harus unik dalam perimeter dan tidak boleh melebihi 100 karakter. Dalam kebijakan akses, gabungan panjang semua judul aturan tidak boleh melebihi 240.000 karakter.

Untuk membuat aturan masuk yang berfungsi, Anda harus menentukan atribut berikut:

• Atribut sources. Anda harus menentukan accessLevel atau resource (projectGoogle Cloud atau jaringan VPC), atau menetapkan atribut accessLevel ke *.

• Atribut identityType atau identities
• resources atribut
• serviceName atribut

Setelah selesai mengonfigurasi file kebijakan ingress, lihat Memperbarui kebijakan ingress dan egress untuk mengetahui petunjuk tentang cara menerapkan file kebijakan ingress ke perimeter layanan Anda.

Jika Anda mengonfigurasi beberapa aturan masuk dalam perimeter layanan, Kontrol Layanan VPC mengizinkan permintaan jika memenuhi kondisi salah satu aturan masuk.

Referensi aturan traffic keluar

Aturan traffic keluar dapat dikonfigurasi menggunakan Google Cloud konsol, file JSON, atau file YAML. Contoh berikut menggunakan format .yaml:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
    *OR*
    externalResources:
    - EXTERNAL_RESOURCE_PATH
  egressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
    sourceRestriction: RESTRICTION_STATUS
  title: TITLE

• - egressTo: - (Wajib) Memulai blok to yang mencantumkan operasi layanan yang diizinkan pada resource Google Cloud dalam project tertentu di luar perimeter.

• operations: - (Atribut ini atau atribut roles harus digunakan) Menandai awal daftar layanan dan tindakan/metode yang dapat diakses dan diizinkan untuk diakses oleh klien yang memenuhi kondisi blok from.

• - serviceName: - (Wajib) Kolom ini dapat berupa nama layanan yang valid atau ditetapkan ke * untuk mengizinkan akses ke semua layanan. Untuk mengetahui daftar layanan yang tersedia, lihat Produk yang didukung.

• methodSelectors: - (Wajib jika serviceName bukan *) Awal daftar metode yang diizinkan untuk diakses oleh klien yang memenuhi kondisi blok from. Untuk mengetahui daftar metode dan izin yang dapat dibatasi untuk layanan, lihat Pembatasan metode layanan yang didukung.

  Untuk mengetahui daftar metode layanan yang tidak dapat dikontrol oleh Kontrol Layanan VPC, lihat Pengecualian metode layanan.

• - method: - (Atribut ini atau atribut permission harus digunakan.) Kolom ini dapat berupa metode layanan yang valid, atau dapat ditetapkan ke * untuk mengizinkan akses ke semua metode layanan yang ditentukan.

• - permission: - (Atribut ini atau atribut method harus digunakan.) Kolom ini harus berupa izin layanan yang valid. Akses ke resource tertentu di luar perimeter diizinkan untuk operasi yang memerlukan izin ini.

  Jika permintaan ke resource memerlukan beberapa izin, Anda harus menentukan semua izin yang diperlukan dalam operasi yang sama agar aturan keluar berfungsi. Misalnya, jika permintaan ke resource BigQuery memerlukan izin bigquery.jobs.create dan bigquery.tables.create, Anda harus menentukan kedua izin ini dalam operasi yang sama. Selain itu, jika Anda menentukan izin beberapa kali untuk resource yang sama menggunakan konsolGoogle Cloud , izin tidak dibuat dalam operasi yang sama. Untuk menghindari masalah ini, tentukan semua izin sekaligus untuk resource.

• roles:: (Atribut ini atau atribut operations harus digunakan) Atribut ini merujuk ke daftar peran IAM yang menentukan cakupan akses untuk layanan yang ditentukan dalam aturan.

• ROLE_NAME: Tentukan satu peran atau kombinasi peran yang mencakup semua izin yang diperlukan untuk mengakses layanan. Untuk menentukan peran, gunakan format nama peran yang disebutkan dalam Komponen peran, kecuali format berikut: projects/PROJECT_ID/roles/IDENTIFIER.

  Untuk mengetahui informasi tentang layanan dan peran yang didukung, lihat Produk yang didukung.

• resources: - Atribut ini adalah daftar resource Google Cloud yang ditentukan oleh projectnya yang dapat diakses oleh klien dalam perimeter. Anda dapat menyetel kolom ini ke * untuk mengizinkan akses keluar ke resourceGoogle Cloud mana pun.

• externalResources: - Atribut ini hanya digunakan untuk menentukan resource BigQuery Omni. Atribut ini adalah daftar resource eksternal yang didukung oleh BigQuery Omni yang dapat diakses oleh klien di dalam perimeter. Anda hanya dapat menentukan resource Amazon S3 atau Azure Blob Storage. Untuk Amazon S3, format yang didukung adalah s3://BUCKET_NAME. Untuk Azure Storage, format yang didukung adalah azure://myaccount.blob.core.windows.net/CONTAINER_NAME.

• egressFrom: - (Wajib) Memulai blok from yang mencantumkan sumber dan identitas yang diizinkan dalam perimeter.

• identityType: - (Atribut ini atau atribut identities harus digunakan.) Atribut ini menentukan jenis identitas yang dapat digunakan untuk mengakses resource tertentu di luar perimeter. Nilai yang dapat diterima: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY mengizinkan permintaan dari semua identitas, termasuk permintaan yang tidak diautentikasi. ANY_USER_ACCOUNT mengizinkan semua pengguna manusia, dan ANY_SERVICE_ACCOUNT mengizinkan semua akun layanan, tetapi ANY_USER_ACCOUNT dan ANY_SERVICE_ACCOUNT tidak mengizinkan permintaan yang tidak diautentikasi.

  Atribut ini tidak membatasi identitas berdasarkan organisasi. Misalnya, ANY_SERVICE_ACCOUNT mengizinkan akun layanan dari organisasi mana pun.

• identities: - (Atribut ini atau atribut identityType harus digunakan.) Atribut ini memulai daftar akun layanan, akun pengguna, grup Google, atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter.

• PRINCIPAL_IDENTIFIER: Tentukan akun pengguna, akun layanan, grup Google, atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Gunakan format yang ditentukan dalam ID Utama v1 API IAM. Misalnya, gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.

  VPC Service Controls hanya mendukung identitas v1 yang diawali dengan user, serviceAccount, group, principal, dan principalSet dalam ID Akun Utama API v1 IAM.

• sources: - Atribut ini menentukan daftar asal jaringan. Nilai atribut dapat berupa daftar project atau tingkat akses. Untuk menerapkan pembatasan akses berdasarkan sources yang ditentukan, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_ENABLED.

  Kontrol Layanan VPC mengevaluasi atribut accessLevel dan resource dari atribut sources sebagai kondisi OR.

• - resource: - (Gunakan atribut ini atau atribut accessLevel) Tentukan satu atau beberapa resourceGoogle Cloud dari perimeter layanan yang ingin Anda izinkan untuk mengakses data di luar perimeter. Atribut ini hanya mendukung project. Untuk menentukan project, gunakan format berikut: projects/PROJECT_NUMBER.

  Anda tidak dapat menggunakan * dalam atribut ini untuk mengizinkan semua resource Google Cloud .

• - accessLevel: - (Gunakan atribut ini atau atribut resource) Tentukan satu atau beberapa tingkat akses yang mengizinkan resource di dalam perimeter untuk mengakses resource di luar perimeter. Pastikan tingkat akses ini berasal dari kebijakan akses yang sama dengan perimeter. Jika Anda menyetel atribut accessLevel ke *, kebijakan keluar akan mengizinkan akses dari asal jaringan mana pun.

• sourceRestriction: - (Wajib jika Anda menggunakan atribut sources) Atribut ini memungkinkan Anda menerapkan batasan akses berdasarkan sources yang ditentukan. Untuk menerapkan pembatasan akses ini, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_ENABLED.

  Untuk menonaktifkan batasan akses ini, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_DISABLED.

  Jika Anda tidak menetapkan nilai apa pun untuk atribut sourceRestriction, Kontrol Layanan VPC akan mengabaikan atribut sources dan tidak menerapkan batasan akses.

• title: - (Opsional) Atribut ini menentukan judul aturan traffic keluar. Judul harus unik dalam perimeter dan tidak boleh melebihi 100 karakter. Dalam kebijakan akses, gabungan panjang semua judul aturan tidak boleh melebihi 240.000 karakter.

Setelah selesai mengonfigurasi file kebijakan traffic keluar, lihat Memperbarui kebijakan traffic masuk dan keluar untuk mengetahui petunjuk tentang cara menerapkan file kebijakan traffic keluar ke perimeter layanan Anda.

Jika Anda mengonfigurasi beberapa aturan traffic keluar dalam perimeter layanan, Kontrol Layanan VPC akan mengizinkan permintaan jika memenuhi kondisi salah satu aturan traffic keluar.

Menggunakan mode uji coba untuk menguji kebijakan masuk/keluar

Jika Anda tidak ingin memberikan akses ke semua metode layanan, terkadang sulit untuk menentukan daftar metode yang tepat untuk diizinkan. Hal ini dapat terjadi karena metode tertentu untuk layanan dapat menyebabkan metode lain dipanggil di layanan Google Cloud terpisah. Misalnya, BigQuery memuat tabel dari bucket Cloud Storage untuk menjalankan kueri.

Untuk menentukan kumpulan metode yang benar untuk diizinkan, Anda dapat menggunakan Mode uji coba Kontrol Layanan VPC. Lakukan ini dengan terlebih dahulu mengaktifkan perimeter dalam mode uji coba tanpa kebijakan masuk atau keluar, dan kumpulkan daftar metode yang dipanggil dari log audit. Kemudian, tambahkan metode ini secara bertahap ke kebijakan ingress/egress dalam mode uji coba hingga semua pelanggaran berhenti. Pada tahap ini, konfigurasi dapat dipindahkan dari mode uji coba ke mode diterapkan.

Fitur yang tidak didukung

Fitur berikut saat ini tidak didukung untuk aturan masuk dan keluar:

1. Mengidentifikasi Google Cloud resource menurut label, bukan project.
2. Tidak semua layanan mendukung aturan ingress/egress per metode. Lihat Pembatasan metode layanan yang didukung.
3. Jenis identitas ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT tidak dapat digunakan untuk mengizinkan operasi berikut:
   • Semua operasi Container Registry.
   • Semua operasi layanan notebooks.googleapis.com.
   • Operasi Cloud Storage menggunakan URL Bertanda Tangan.
   • Dengan fungsi Cloud Run, deployment Cloud Function dari mesin lokal.
   • Mengekspor log dari tujuan sink Cloud Logging ke resource Cloud Storage.
   • Semua operasi antarmuka pengguna web Apache Airflow di Cloud Composer.

Batasan

Untuk mengetahui informasi tentang batas ingress dan egress, lihat Kuota dan batas.

Langkah berikutnya

• Selesaikan codelab ini untuk mempelajari cara memperbaiki pelanggaran traffic masuk dan keluar.
• Pelajari cara menyiapkan dan melihat dasbor pelanggaran (Pratinjau).