Layanan yang dapat diakses VPC

Untuk menentukan layanan yang dapat diakses dari jaringan di dalam perimeter layanan Anda, gunakan fitur layanan yang dapat diakses VPC. Fitur layanan VPC yang dapat diakses membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda.

Fitur layanan VPC yang dapat diakses hanya berlaku untuk traffic dari endpoint jaringan VPC Anda ke Google API. Tidak seperti perimeter layanan, fitur layanan VPC yang dapat diakses tidak berlaku untuk komunikasi dari satu Google API ke API lainnya, atau jaringan unit tenant, yang digunakan untuk mengimplementasikan layanan Google Cloud tertentu.

Saat mengonfigurasi layanan yang dapat diakses VPC untuk suatu perimeter, Anda dapat menentukan daftar setiap layanan, serta menyertakan nilai RESTRICTED-SERVICES, yang secara otomatis mencakup semua layanan yang dilindungi oleh perimeter.

Untuk memastikan akses ke layanan yang diharapkan dibatasi sepenuhnya, Anda harus:

  • Konfigurasi perimeter untuk melindungi kumpulan layanan yang sama dengan yang ingin Anda buat agar dapat diakses.

  • Mengonfigurasi VPC di perimeter untuk menggunakan VIP yang dibatasi.

  • Gunakan firewall lapisan 3.

Contoh: Jaringan VPC dengan akses Cloud Storage saja

Asumsikan Anda memiliki perimeter layanan, my-authorized-perimeter, yang mencakup dua project: my-authorized-compute-project dan my-authorized-gcs-project. Perimeter melindungi layanan Cloud Storage.

my-authorized-gcs-project menggunakan sejumlah layanan, termasuk Cloud Storage, Bigtable, dan lainnya. my-authorized-compute-project menghosting jaringan VPC.

Karena kedua project memiliki perimeter yang sama, jaringan VPC di my-authorized-compute-project memiliki akses ke resource layanan di my-authorized-gcs-project, terlepas dari apakah perimeter tersebut melindungi layanan tersebut atau tidak. Namun, Anda ingin jaringan VPC hanya memiliki akses ke resource Cloud Storage di my-authorized-gcs-project.

Anda khawatir jika kredensial untuk VM di jaringan VPC Anda dicuri, musuh dapat memanfaatkan VM tersebut untuk mengambil data secara tidak sah dari layanan yang tersedia di my-authorized-gcs-project.

Anda telah mengonfigurasi jaringan VPC untuk menggunakan VIP terbatas, yang membatasi akses dari jaringan VPC Anda hanya ke API yang didukung oleh Kontrol Layanan VPC. Sayangnya, hal tersebut tidak mencegah jaringan VPC Anda mengakses layanan yang didukung, seperti resource Bigtable di my-authorized-gcs-project.

Untuk membatasi akses jaringan VPC hanya ke layanan penyimpanan, Anda perlu mengaktifkan layanan yang dapat diakses VPC dan menetapkan storage.googleapis.com sebagai layanan yang diizinkan:

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

Berhasil! Jaringan VPC di my-authorized-compute-project kini dibatasi hanya untuk mengakses resource untuk layanan Cloud Storage. Pembatasan ini juga berlaku untuk setiap project dan jaringan VPC yang nantinya Anda tambahkan ke perimeter.

Apa langkah selanjutnya?