Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אבטחת הנתונים באמצעות גבולות גזרה לשירות

‫VPC Service Controls עוזר לצמצם את הסיכון להעתקה או להעברה לא מורשות של נתונים מהשירותים שמנוהלים על ידי Google.

בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירותים מסביב למשאבים של השירותים המנוהלים על ידי Google, ולשלוט בתנועת הנתונים מעבר לגבולות הגזרה.

יצירה של service perimeter

כדי ליצור service perimeter, פועלים לפי ההוראות במאמר יצירת service perimeter במדריך VPC Service Controls.

כשמעצבים את גבולות הגזרה לשירות, צריך לכלול את השירותים הבאים:

‫Migration Center API ‏ (migrationcenter.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Resource Manager API (cloudresourcemanager.googleapis.com)
Cloud Logging API (logging.googleapis.com)

אישור תעבורה באמצעות כללים להעברת נתונים נכנסים

כברירת מחדל, גבולות גזרה לשירות נועדו למנוע העברת נתונים נכנסת משירותים שמחוץ לגבולות הגזרה. אם אתם מתכננים להשתמש בייבוא נתונים כדי להעלות נתונים מחוץ לגבולות גזרה, או להשתמש בלקוח הגילוי כדי לאסוף את נתוני התשתית, הגדירו כללי גישה לנתונים כדי לאפשר זאת.

הפעלת ייבוא נתונים

כדי להפעיל ייבוא נתונים, מציינים את כללי העברת הנתונים הנכנסים באמצעות התחביר הבא:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

‫SERVICE_ACCOUNT: חשבון השירות לכל מוצר ולכל פרויקט שמשמש להעלאת נתונים ל-Migration Center, בפורמט הבא: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

כאן, PROJECT_NUMBER הוא המזהה הייחודי שלGoogle Cloud הפרויקט שבו הפעלתם את Migration Center API. מידע נוסף על מספרי פרויקטים זמין במאמר זיהוי פרויקטים.
‫PROJECT_ID: מזהה הפרויקט בתוך גבולות הגזרה שרוצים להעלות אליו את הנתונים.

אי אפשר להשתמש בסוגי הזהויות ANY_SERVICE_ACCOUNT ו-ANY_USER_ACCOUNT עם כתובות URL חתומות. מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ לגבולות גזרה.

הפעלה של איסוף נתונים באמצעות לקוח גילוי

כדי להפעיל איסוף נתונים באמצעות לקוח הגילוי, מציינים את כללי העברת הנתונים הנכנסים באמצעות התחביר הבא:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID