區域 ID
REGION_ID 是 Google 根據您在建立應用程式時選取的地區所指派的縮寫代碼。此代碼不對應至國家/地區或省份,即使部分區域 ID 可能與常用的國家/地區和省份代碼相似。如果是 2020 年 2 月後建立的應用程式,App Engine 網址會包含 REGION_ID.r。如果是這段時間前建立的現有應用程式,網址可選擇是否包含地區 ID。
進一步瞭解區域 ID。
安全防護是 Google Cloud的核心功能,但您仍須採取一些步驟來保護 App Engine 應用程式並找出安全漏洞。
請使用下列功能,確保您的 App Engine 應用程式安全無虞。如要進一步瞭解 Google 安全性模型,以及可以採取哪些步驟來保護 Google Cloud 專案,請參閱 Google Cloud Platform 安全性一文。
HTTPS 要求
您可以透過 HTTPS 要求,以安全的方式存取 App Engine 應用程式。視應用程式的設定方式而定,您可以使用下列幾種選項:
appspot.com網域- 使用
https網址前置字串,將 HTTPS 要求傳送至 Google Cloud 專案的default服務,例如:
https://PROJECT_ID.REGION_ID.r.appspot.com
如要指定 App Engine 應用程式中的特定資源,請使用
-dot-語法來區隔您要指定的每項資源,例如:
https://VERSION-dot-SERVICE-dot-PROJECT_ID.REGION_ID.r.appspot.com如要將 HTTP 網址轉換為 HTTPS 網址,請將各項資源之間的半形句號改為
-dot-,例如:
http://SERVICE_ID.PROJECT_ID.REGION_ID.r.appspot.com
https://SERVICE_ID-dot-PROJECT_ID.REGION_ID.r.appspot.com
如要進一步瞭解 HTTPS 網址和指定資源的相關資訊,請參閱要求的轉送方式一文。
- 使用
- 自訂網域
如要透過自訂網域傳送 HTTPS 要求,您可以使用 App Engine 佈建的代管安全資料傳輸層 (SSL) 憑證。詳情請參閱使用安全資料傳輸層 (SSL) 保護自訂網域一文。
存取權控管
在每個 Google Cloud 專案中設定存取權控管,決定哪些人可以存取專案中的服務,包括 App Engine。您可以為不同帳戶指派不同角色,確保每個帳戶只具備支援應用程式所需的權限。詳情請參閱「設定存取權控管」。
App Engine 防火牆
App Engine 防火牆可讓您透過一組規則來允許或拒絕來自指定 IP 位址範圍的要求,藉此控管 App Engine 應用程式的存取權。您不必為防火牆封鎖的流量或頻寬支付費用。建立防火牆之後,您就可以套用下列設定:
- 只允許來自特定網路的流量
- 確保只有特定網路中的某個 IP 位址範圍可以存取您的應用程式。舉例來說,您可以在應用程式測試階段建立規則,只允許公司私人網路中的 IP 位址範圍。接著,您可以在應用程式發布流程的各個階段中建立及修改防火牆規則,只允許特定機構 (您的公司或外部機構) 存取您的應用程式,藉此控管存取權範圍,直到應用程式公開發布為止。
- 只允許來自特定服務的流量
- 確保所有連入 App Engine 應用程式的流量都已先透過特定服務的 Proxy 進行處理。舉例來說,如果您使用第三方網頁應用程式防火牆 (WAF) 將導向應用程式的要求傳送至 Proxy,您可以建立如下的防火牆規則:除了由 WAF 轉送的要求以外,所有其他要求一律拒絕。
- 封鎖違規 IP 位址
- 雖然 Google Cloud 提供了許多攻擊防範機制,但您仍能使用 App Engine 防火牆,封鎖從帶有不良意圖的 IP 位址傳送至應用程式的流量,或是保護應用程式免受阻斷服務攻擊和類似形式濫用的侵擾。您可以將 IP 位址或子網路加入拒絕清單,這樣系統就會拒絕轉送來自這些位址和子網路的要求,將要求阻隔在 App Engine 應用程式之外。
如要進一步瞭解如何建立規則和設定防火牆,請參閱透過防火牆控管應用程式存取權一文。
輸入控制項
您可以使用 Ingress 控制項,限制連入 App Engine 應用程式的流量。根據預設,App Engine 應用程式會接受來自所有網路來源的流量。如要修改預設設定,以及編輯及查看可用設定,請參閱「指定 Ingress 設定」。
Security Scanner
Google Cloud Web Security Scanner 會檢索您的 App Engine 應用程式、追蹤起始網址涵蓋的所有連結,並盡可能執行大量的使用者輸入動作和事件處理常式,藉此找出安全漏洞。
如要使用 Security Scanner,您必須是Google Cloud 專案的擁有者。如要進一步瞭解如何指派角色,請參閱設定存取權控管。
您可以透過 Google Cloud 主控台執行安全性掃描,找出 App Engine 應用程式中的安全漏洞。如要進一步瞭解如何執行 Security Scanner,請參閱「使用 Web Security Scanner」。
VPC Service Controls
App Engine 彈性環境不支援。