為 Application Integration 設定 VPC Service Controls
您可以使用 VPC Service Controls,為 Application Integration Google Cloud 服務定義安全範圍。服務周圍的安全範圍可限制虛擬私有雲中的資料,並降低資料竊取風險。如果您還不熟悉 VPC Service Controls,建議先瞭解下列資訊:
本文說明如何為 Application Integration 服務設定 VPC Service Controls perimeter。設定好 perimeter 後,您就可以設定輸出和輸入政策,決定其他 Google Cloud 服務可存取哪些 Application Integration 服務 (integrations.googleapis.com),反之亦然。
事前準備
請確認您具備設定服務範圍的必要權限。 如要查看設定 VPC Service Controls 時所需的 IAM 角色清單,請參閱 VPC Service Controls 說明文件中的「使用 IAM 控管存取權」。
建立 VPC 服務範圍
如要建立虛擬私有雲服務範圍,可以使用 Google Cloud console、gcloud 指令或 accessPolicies.servicePerimeters.create API。詳情請參閱「建立 service perimeter」。如要建立 VPC Service Controls 服務範圍,並使用 gcloud 指令授予使用者存取權,請執行下列指令:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
PERIMETER_TITLE:VPC Service Controls 範圍的名稱PROJECT_ID:要新增 VPC Service Controls 範圍的專案
上述指令需要一段時間才能完成。 使用 Application Integration 服務時,VPC Service Controls 服務範圍會限制專案的整合服務。
如要允許任何 IP 位址、服務帳戶或使用者使用 Application Integration,請使用輸入和輸出規則。VPC Service Controls 會使用輸入和輸出規則,允許存取受 service perimeter 保護的資源和用戶端,以及從這些資源和用戶端存取資料。
為現有服務範圍新增輸出政策
如要為現有服務範圍新增輸出政策,請使用 gcloud access-context-manager perimeters update 指令。舉例來說,下列指令會將 vpcsc-egress.yaml 檔案中定義的輸出政策,新增至名為 integrationPerimeter 的現有 service perimeter:
gcloud access-context-manager perimeters update integrationPerimeter --set-egress-policies=vpcsc-egress.yaml
與輸出政策類似,您也可以定義輸入政策。如要進一步瞭解如何指定輸入規則,請參閱「輸入規則參考資料」。
驗證 perimeter
如要驗證服務範圍,請使用 gcloud access-context-manager perimeters describe PERIMETER_NAME 指令。舉例來說,下列指令會說明 integrationPerimeter 周邊:
gcloud access-context-manager perimeters describe integrationPerimeter
如要進一步瞭解如何管理 service perimeter,請參閱「管理 service perimeter」。
注意事項
如果您已為 Application Integration 服務啟用 VPC service perimeter,就無法在整合中使用下列工作: