Halaman ini menjelaskan cara mengonfigurasi Pusat Database dengan Kontrol Layanan VPC, sebuah fitur untuk mengamankan data dan resource. Google Cloud
Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dari instance Database Center. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Untuk mengetahui ringkasan umum Kontrol Layanan VPC, manfaat keamanannya, dan kemampuannya di seluruh produk yang didukung, lihat Ringkasan Kontrol Layanan VPC.
Sebelum memulai
Sebelum memulai, tinjau Ringkasan Kontrol Layanan VPC dan Batasan Pusat Database saat menggunakan Kontrol Layanan VPC. Kemudian, lakukan langkah-langkah berikut untuk memastikan Anda memiliki izin yang benar untuk menggunakan Kontrol Layanan VPC.
Di konsol Google Cloud , buka halaman Project Selector.
- Pilih atau buat project Google Cloud .
- Pastikan penagihan diaktifkan untuk project Google Cloud Anda. Pelajari cara memeriksa apakah penagihan telah diaktifkan pada suatu project.
- Aktifkan Compute Engine API.
- Aktifkan Service Networking API.
- Tambahkan peran Identity and Access Management (IAM) ke akun pengguna atau layanan yang Anda gunakan untuk menyiapkan dan mengelola Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Peran IAM untuk Mengelola Kontrol Layanan VPC.
- Tinjau batasan saat menggunakan Kontrol Layanan VPC dengan Database Center.
Cara mengamankan layanan Database Center menggunakan Kontrol Layanan VPC
Mengonfigurasi Kontrol Layanan VPC untuk project Database Center mencakup langkah-langkah berikut:
Buat dan kelola perimeter layanan.
Pertama, Anda memilih project Database Center yang ingin dilindungi oleh perimeter layanan, lalu Anda membuat dan mengelola perimeter layanan.
Buat dan kelola tingkat akses.
Secara opsional, untuk mengizinkan akses eksternal ke resource terlindungi di dalam perimeter, Anda dapat menggunakan tingkat akses. Tingkat akses hanya diterapkan pada permintaan untuk resource yang dilindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin kepada resource atau VM yang dilindungi untuk mengakses data dan layanan di luar perimeter.
Membuat dan mengelola perimeter layanan
Untuk membuat dan mengelola perimeter layanan, selesaikan langkah-langkah berikut:
Pilih project Database Center yang ingin Anda lindungi dengan perimeter layanan.
Buat perimeter layanan dengan mengikuti petunjuk di Membuat perimeter layanan.
Tambahkan lebih banyak instance ke perimeter layanan. Untuk menambahkan instance Database Center yang ada ke perimeter, ikuti petunjuk di bagian Memperbarui perimeter layanan.
Tambahkan API ke perimeter layanan. Untuk mengurangi risiko data Anda diekstraksi dari Pusat Database, Anda harus membatasi Database Center API, Compute Engine API, Cloud Storage API, Container Registry API, Certificate Authority Service API, dan Cloud KMS API. Untuk informasi selengkapnya, lihat
access-context-manager perimeters update.Untuk menambahkan API sebagai layanan terbatas, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud , buka halaman VPC Service Controls.
- Di halaman VPC Service Controls, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.
- Klik Edit.
- Di halaman Edit VPC Service Perimeter, klik Add Services.
- Pilih Database Center (
databasecenter.googleapis.com). - Klik Simpan.
gcloud
gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=databasecenter.googleapis.com
- PERIMETER_ID: ID perimeter atau ID yang memenuhi syarat sepenuhnya untuk perimeter.
- POLICY_ID: ID kebijakan akses.
Membuat dan mengelola tingkat akses
Untuk membuat dan mengelola tingkat akses, ikuti petunjuk di artikel Mengizinkan akses ke resource terlindungi dari luar perimeter.