透過 VPC Service Controls 強制執行憑證式存取權

如要保護專案中的 Google Cloud 服務,並降低資料竊取風險,您可以在組織、資料夾或專案層級指定 VPC Service Controls service perimeter。套用服務範圍後,您就能精細控管輸入政策,以及要保護的服務和資源。

如要進一步瞭解服務範圍的優點,請參閱「VPC Service Controls 總覽」。

對 service perimeter 套用 CBA 輸入政策

將 CBA 存取層級套用至服務範圍後,您只能透過信任的裝置授予範圍保護資源的存取權。如要進一步瞭解如何建立 CBA 存取層級,請參閱「建立憑證式存取權的存取層級」。

下圖是基本範例,說明如何將 CBA 存取層級與服務安全防護範圍建立關聯,限制不明裝置存取 Cloud Storage 機密資料:

將 CBA 存取層級與 service perimeter 建立關聯,限制存取權

如要將 CBA 輸入政策套用至服務範圍,請完成下列步驟:

  1. 在 Google Cloud 控制台導覽選單中,依序按一下「Security」(安全性) 和「VPC Service Controls」

    前往「VPC Service Controls」頁面

  2. 在「VPC Service Controls」頁面的資料表中,按一下要修改的服務範圍名稱。

  3. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中,按一下「Access Levels」(存取層級)

  4. 在「選擇存取層級」中,選取 CBA 存取層級。

  5. 按一下 [儲存]