VPC Service Controls konfigurieren

Auf dieser Seite wird beschrieben, wie Sie Database Center mit VPC Service Controls konfigurieren, einer Google Cloud Funktion zum Sichern von Daten und Ressourcen.

VPC Service Controls hilft, das Risiko einer Daten-Exfiltration aus Database Center-Instanzen zu verringern. Mit VPC Service Controls können Sie Dienstperimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie explizit angeben.

Eine allgemeine Übersicht über VPC Service Controls, die Sicherheitsvorteile und die Funktionen in den unterstützten Produkten finden Sie unter VPC Service Controls.

Hinweise

Lesen Sie zuerst die Übersicht über VPC Service Controls und die Einschränkungen von Database Center bei Verwendung von VPC Service Controls. Führen Sie dann die folgenden Schritte aus, um sicherzustellen, dass Sie die richtigen Berechtigungen für die Verwendung von VPC Service Controls haben.

  1. Rufen Sie in der Google Cloud Console die Seite Projektauswahl auf.

    Zur Projektauswahl

  2. Wählen Sie ein Google Cloud Projekt aus oder erstellen Sie eines.
  3. Die Abrechnung für Ihr Google Cloud -Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für ein Projekt aktiviert ist
  4. Aktivieren Sie die Compute Engine API.

    Compute Engine-API aktivieren

  5. Aktivieren Sie die Service Networking API.

    Service Networking API aktivieren

  6. Fügen Sie dem Nutzer- oder Dienstkonto, das Sie zum Einrichten und Verwalten von VPC Service Controls verwenden, die IAM-Rollen (Identity and Access Management) hinzu. Weitere Informationen finden Sie unter IAM-Rollen für die Verwaltung von VPC Service Controls.
  7. Sehen Sie sich die Einschränkungen bei der Verwendung von VPC Service Controls mit Database Center an.

Database Center-Dienst mit VPC Service Controls schützen

Die Konfiguration von VPC Service Controls für das Database Center-Projekt umfasst die folgenden Schritte:

  1. Dienstperimeter erstellen und verwalten

    Zuerst wählen Sie das Database Center-Projekt aus, das durch den Dienstperimeter geschützt werden soll. Anschließend erstellen und verwalten Sie den Dienstperimeter.

  2. Zugriffsebenen erstellen und verwalten

    Optional können Sie Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zu ermöglichen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können Zugriffsebenen nicht verwenden, um geschützten Ressourcen oder VMs die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Dienstperimeter erstellen und verwalten

So erstellen und verwalten Sie einen Dienstperimeter:

  1. Wählen Sie das Database Center-Projekt aus, das durch den Dienstperimeter geschützt werden soll.

  2. Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

  3. Fügen Sie dem Dienstperimeter weitere Instanzen hinzu. Wenn Sie dem Perimeter vorhandene Database Center-Instanzen hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

  4. Fügen Sie dem Dienstperimeter APIs hinzu. Um das Risiko zu minimieren, dass Ihre Daten aus Database Center exfiltriert werden, müssen Sie die Database Center API, die Compute Engine API, die Cloud Storage API, die Container Registry API, die Certificate Authority Service API und die Cloud KMS API einschränken. Weitere Informationen finden Sie unter access-context-manager perimeters update.

    So fügen Sie APIs als eingeschränkte Dienste hinzu:

    Console

    1. Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

      Zu „VPC Service Controls“

    2. Klicken Sie auf der Seite VPC Service Controls in der Tabelle auf den Namen des Dienstperimeters, den Sie ändern möchten.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf Dienste hinzufügen.
    5. Wählen Sie Datenbankcenter (databasecenter.googleapis.com) aus.
    6. Klicken Sie auf Speichern.

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databasecenter.googleapis.com
    • PERIMETER_ID: Die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter.
    • POLICY_ID: Die ID der Zugriffsrichtlinie.

Zugriffsebenen erstellen und verwalten

Eine Anleitung zum Erstellen und Verwalten von Zugriffsebenen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.