本页面介绍了如何将数据库中心与 VPC Service Controls(一种用于保护数据和资源的 Google Cloud 功能)搭配使用。
VPC Service Controls 有助于降低 Database Center 实例中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,该边界可保护您明确指定的服务的资源和数据。
如需大致了解 VPC Service Controls、其安全优势以及跨支持的产品的功能,请参阅 VPC Service Controls 概览。
准备工作
在开始之前,请查看 VPC Service Controls 概览和使用 VPC Service Controls 时的数据库中心限制。然后,执行以下步骤,确保您拥有使用 VPC Service Controls 的正确权限。
在 Google Cloud 控制台中,前往项目选择器页面。
- 选择或创建 Google Cloud 项目。
- 确保您的 Google Cloud 项目已启用结算功能。 了解如何检查项目是否已启用结算功能。
- 启用 Compute Engine API。
- 启用 Service Networking API。
- 将 Identity and Access Management (IAM) 角色添加到您用于设置和管理 VPC Service Controls 的用户或服务账号中。如需了解详情,请参阅用于管理 VPC Service Controls 的 IAM 角色。
- 查看将 VPC Service Controls 与数据库中心搭配使用时的 限制。
如何使用 VPC Service Controls 保护 Database Center 服务
为 Database Center 项目配置 VPC Service Controls 包括以下步骤:
-
首先,选择您希望服务边界保护的数据库中心项目,然后创建和管理服务边界。
-
(可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别为受保护的资源或虚拟机授予访问边界外的数据和服务的权限。
创建和管理服务边界
如需创建和管理服务边界,请完成以下步骤:
选择您希望服务边界保护的 Database Center 项目。
按照创建服务边界中的说明创建服务边界。
向服务边界添加更多实例。如需将现有的数据库中心实例添加到边界,请按照更新服务边界中的说明操作。
将 API 添加到服务边界。如需降低 Database Center 发生数据渗漏的风险,您必须限制 Database Center API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API 和 Cloud KMS API。如需了解详情,请参阅
access-context-manager perimeters update。如需将 API 添加为受限服务,请完成以下步骤:
控制台
- 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
- 在 VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
- 点击修改。
- 在修改 VPC 服务边界页面上,点击添加服务。
- 选择 Database Center (
databasecenter.googleapis.com)。 - 点击保存。
gcloud
gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=databasecenter.googleapis.com
- PERIMETER_ID:边界的 ID 或边界的完全限定标识符。
- POLICY_ID:访问权限政策的 ID。
创建和管理访问权限级别
如需创建和管理访问权限级别,请按照允许从边界外访问受保护的资源中的说明操作。