本頁面說明如何建立服務重疊範圍。
事前準備
建立 perimeter bridge
控制台
在 Google Cloud 控制台導覽選單中,依序按一下「Security」(安全性) 和「VPC Service Controls」。
如果系統提示您選取組織,請依提示選取您的組織。
在「VPC Service Controls」頁面上,按一下「New perimeter」(新增 perimeter)。
在「Create a service perimeter」(建立 service perimeter) 頁面的「Title」(標題) 欄位中,輸入 perimeter 名稱。
您只能使用 perimeter 名稱搜尋 perimeter,因此建議為 perimeter 使用不重複的名稱。您無法使用 ID 搜尋 perimeter。
選用:在「Description」(說明) 欄位中輸入 perimeter 的說明。
在「Perimeter type」(範圍類型) 中,選取「Bridge」(橋接設定)。
在「Enforcement mode」(強制執行模式),選取 perimeter 強制執行模式。可用選項包括「Dry run」(模擬測試) 和「Enforced」(強制執行)。
如要進一步瞭解模擬測試和強制執行模式,請參閱「service perimeter 詳細資料和設定」。
按一下「Continue」(繼續)。
選取您想在該 perimeter 內保護的專案:
按一下「Add projects」(新增專案)。
在「Add Projects」(新增專案) 窗格中,找出您想新增至 perimeter 的專案,然後在相對應的列中勾選核取方塊。
按一下「Add selected projects」(新增所選專案)。
按一下「Create」(建立)。
gcloud
如要建立 perimeter bridge,請使用下列指令:
gcloud access-context-manager perimeters create BRIDGE_NAME \ --title="BRIDGE_TITLE" --perimeter-type=bridge \ --resources=PROJECTS \ --policy=POLICY_NAME
其中:
BRIDGE_NAME 是您要建立的 perimeter bridge 名稱。
BRIDGE_TITLE 是橋接設定的標題。
PROJECTS 是包含一或多個專案 ID 的逗號分隔清單,例如:
projects/100712或projects/100712,projects/233130。只支援數字 ID,無法使用專案名稱。POLICY_NAME 是組織存取權政策的數字名稱。例如:
330193482019。
API
如要建立 perimeter bridge,請呼叫 accessPolicies.servicePerimeters.create。
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters
其中:
- POLICY_NAME 是組織存取權政策的數字名稱。例如:
330193482019。
要求主體
要求主體必須包含定義 perimeter bridge 的 ServicePerimeter 資源。
針對 ServicePerimeter 資源,請為 perimeterType 指定 PERIMETER_TYPE_BRIDGE。
回應主體
如果成功,呼叫的回應主體會包含 Operation 資源,其中提供有關 POST 作業的詳細資料。