本指南說明如何在 VPC Service Controls 範圍內使用 Private Service Connect Secure Source Manager,防範資料遭竊。
本指南適用於網路管理員、安全架構師和雲端營運專業人員,協助您降低機密資料遺失的風險。
事前準備
必要的角色
如要取得在 VPC Service Controls 邊界中設定 Secure Source Manager 所需的權限,請要求管理員在組織中授予下列 IAM 角色:
-
Access Context Manager 管理員角色 (
roles/accesscontextmanager.policyAdmin) -
專案建立者 (
roles/resourcemanager.projectCreator)
奉行最佳做法
如果未謹慎啟用 VPC Service Controls,可能會導致現有應用程式發生問題,甚至可能造成服務中斷。建議您仔細規劃啟用作業,並預留充足時間收集資料、進行測試及分析違規事項記錄。請確保 VPC Service Controls 作業團隊和應用程式團隊的利害關係人都能參與這項任務。
如要進一步瞭解最佳做法,請參閱「啟用 VPC Service Controls 的最佳做法」。
將專案新增至範圍
前往 Google Cloud 控制台的「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,選取要用來保護專案的範圍。
在「VPC Service Control enforced config detail」(VPC Service Control 強制執行的設定詳細資料) 頁面中,按一下「resources to protect」(要保護的資源) 部分的「Edit」(編輯)。
按一下「要保護的資源」,然後新增專案 ID。
按一下 [儲存]。
將 Secure Source Manager 新增為受限制的服務
前往 Google Cloud 控制台的「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,選取您將專案新增至其中的範圍。
在「VPC Service Control enforced config detail」(VPC Service Control 強制執行設定詳細資料) 頁面中,按一下「Restricted services」(受限服務) 部分的「Edit」(編輯)。
按一下「Add Services」(新增服務)。
在「Specify services to restrict」(指定要限制的服務) 對話方塊中,勾選 Secure Source Manager 旁邊的核取方塊。您可以使用篩選查詢,在清單中找出 Secure Source Manager。
按一下 [儲存]。
更新 service perimeter 後,最多可能需要 30 分鐘才會生效。在這段期間,perimeter 可能會封鎖要求,並顯示下列錯誤訊息:
Error 403: Request is prohibited by organization's policy.
後續步驟
- 進一步瞭解 Private Service Connect。
- 進一步瞭解如何連線至沒有外部 IP 位址的 VM。