Menggunakan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur yang memungkinkan Anda menyiapkan perimeter layanan untuk mencegah pemindahan data yang tidak sah. Google Cloud

Kontrol Layanan VPC di Developer Connect tidak melindungi dari kemungkinan eksfiltrasi ke sistem manajemen kode sumber eksternal. Panduan ini menunjukkan kontrol lebih lanjut yang menggunakan Kebijakan Org Kustom untuk membantu memblokir skenario ini. SCMS

Lihat Menyiapkan perimeter layanan menggunakan Kontrol Layanan VPC untuk mengetahui informasi selengkapnya tentang cara menggunakan Kontrol Layanan VPC.

• Buat kebijakan org kustom yang membatasi koneksi yang dapat dibuat oleh developer Anda.

• Buat kebijakan org kustom yang memungkinkan developer Anda membuat dan mengupdate koneksi hanya melalui resource Direktori Layanan tertentu.

Sebelum memulai

Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasi Google Cloud CLI.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat atau mengedit kebijakan organisasi kustom, minta administrator untuk memberi Anda peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) di resource organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Buat batasan untuk membatasi SCMS tempat tim Anda dapat membuat koneksi

Salah satu cara untuk mengurangi kemungkinan pemindahan data yang tidak sah ke SCMS adalah dengan membatasi SCMS yang diizinkan untuk koneksi. Anda dapat membuat kebijakan organisasi kustom yang mengizinkan koneksi ke satu atau beberapa SCMS yang ditentukan.

Kebijakan organisasi berikut membatasi koneksi repositori untuk mengizinkan koneksi ke GitHub Enterprise saja:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
  Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net

Membuat batasan untuk mewajibkan koneksi melalui Service Directory

Anda dapat mengurangi kemungkinan pemindahan data yang tidak sah dengan membuat kebijakan organisasi kustom yang hanya mengizinkan koneksi ke endpoint Service Directory tertentu.

Kebijakan organisasi berikut hanya mengizinkan koneksi ke endpoint Service Directory tertentu:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
  Allows creation/update of Developer Connect connections only through a specific Service Directory resource

Langkah berikutnya

• Pelajari lebih lanjut cara membuat kebijakan organisasi kustom.

• Pelajari lebih lanjut Kontrol Layanan VPC.

• Pelajari lebih lanjut Direktori Layanan.