使用 VPC Service Controls 設定服務範圍
瞭解如何在 Google Cloud 控制台中使用 VPC Service Controls 設定服務範圍。
事前準備
建議您檢查是否具備管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。
如果您沒有必要的 IAM 角色,請參閱「管理專案、資料夾和機構存取權」,瞭解如何授予 IAM 角色。
設定 VPC Service Controls 範圍
在下列各節中,您將指定範圍詳細資料、新增要保護的專案和服務,並建立範圍。
新增 VPC Service Controls 範圍詳細資料
在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。
如要使用預設的存取權政策來建立新的範圍,請從專案選取器選單中選取您的機構。
在「VPC Service Controls」頁面上,按一下「New Perimeter」。
在「New VPC Service Perimeter」(新增虛擬私有雲服務範圍) 頁面的「Perimeter Name」(範圍名稱) 方塊中,輸入
perimeter_storage_services。在「Perimeter Type」(範圍類型) 和「Config Type」(設定類型) 部分,保留預設設定。
將專案新增至範圍
- 如要將專案新增至範圍,請按一下「New VPC Service Perimeter」(新增虛擬私有雲服務範圍) 導覽選單中的「Projects」(專案)。
- 按一下「Add Projects」(新增專案)。
在「Add Projects」(新增專案) 對話方塊中,選取要新增至範圍的專案,然後按一下「Add Projects」(新增專案)。
按一下 [完成]。
保護範圍內的 BigQuery 和 Cloud Storage 服務
- 在「New VPC Service Perimeter」(新增虛擬私有雲服務範圍) 導覽選單中,按一下「Restricted services」(受限制的服務)。
- 按一下「新增服務」。
在「Specify services to restrict」(指定要限制的服務) 對話方塊中,勾選 BigQuery 和 Cloud Storage API 的核取方塊。
如要尋找服務,可使用篩選查詢。
按一下「Add 2 Services」(新增 2 個服務)。
如要建立範圍,請在「New VPC Service Perimeter」(新增虛擬私有雲服務範圍) 導覽選單中按一下「Create perimeter」(建立範圍)。
您剛剛建立了範圍!您可以查看列在「VPC Service Controls」頁面上的範圍。範圍最多可能需要 30 分鐘才會傳播並生效。變更生效後,只有您已新增至範圍的專案才能存取 BigQuery 和 Cloud Storage 服務。
此外,針對您透過範圍保護的 BigQuery 和 Cloud Storage 服務,其 Google Cloud 主控台介面可能會變成部分或完全無法存取。
清除所用資源
如要避免系統向您的 Google Cloud 帳戶收取您在本頁所用資源的費用,請按照下列步驟操作。
在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中找到您建立的範圍,然後在相應的列中按一下「Delete」(刪除)。
按一下對話方塊中的「Delete」(刪除),確認要刪除這個範圍。
後續步驟
- 進一步瞭解如何建立 service perimeter。
- 進一步瞭解如何管理現有的 service perimeter。
- 進一步瞭解搭配 VPC Service Controls 使用特定服務的限制。