VPC Service Controls 是一项 Google Cloud 功能,可让您设置服务边界以防数据渗漏。
Developer Connect 中的 VPC Service Controls 无法防范可能向外部源代码管理系统泄露数据的风险。本指南介绍了如何使用自定义组织政策进一步控制这些情况。 SCMS
如需详细了解如何使用 VPC Service Controls,请参阅使用 VPC Service Controls 设置服务边界。
准备工作
如需使用本指南中的命令行示例,请安装并配置 Google Cloud CLI。
所需的角色
如需获得创建或修改自定义组织政策所需的权限,请让您的管理员为您授予组织资源的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建限制条件,以限制您的团队可以连接的 SCMS
为了降低数据渗漏到 SCMS 的可能性,一种方法是限制允许连接的 SCMS。您可以创建自定义组织政策,以允许连接到一个或多个指定的 SCMS。
以下组织政策限制了代码库连接,仅允许连接到 GitHub Enterprise:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
创建一项限制,要求通过 Service Directory 进行连接
您可以创建自定义组织政策,仅允许连接到指定的 Service Directory 端点,从而降低数据渗漏的可能性。
以下组织政策仅允许连接到特定的 Service Directory 端点:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource