Aturan ingress dan egress

Halaman ini menjelaskan aturan ingress dan egress untuk Kontrol Layanan VPC. Kontrol Layanan VPC menggunakan aturan ingress dan egress untuk mengizinkan akses dari dan ke resource serta klien yang dilindungi oleh perimeter layanan.

Blok aturan ingress dan egress menentukan arah akses yang diizinkan dari dan ke berbagai identitas dan resource. Aturan ingress dan egress dapat menggantikan dan menyederhanakan kasus penggunaan yang sebelumnya memerlukan satu atau beberapa perantara perimeter.

Untuk mempelajari cara menerapkan kebijakan ingress dan egress ke perimeter layanan, lihat Mengonfigurasi kebijakan ingress dan egress.

Anda dapat mengonfigurasi grup identitas dan identitas pihak ketiga serta peran IAM (Pratinjau) dalam aturan ingress dan egress.

Untuk mengetahui daftar kasus penggunaan dan contoh pertukaran data yang aman, lihat Pertukaran data yang aman dengan aturan ingress dan egress.

Untuk mengetahui daftar kasus penggunaan dan contoh akses kontekstual, lihat Akses kontekstual dengan aturan ingress.

Manfaat aturan ingress dan egress

1. Aturan ingress dan egress memungkinkan Anda bertukar data secara pribadi dan efisien di dalam dan di seluruh organisasi menggunakan Google Cloud API layanan.
2. Aturan ingress dan egress memungkinkan Anda memberikan akses ke Google Cloud resource dalam perimeter berdasarkan konteks permintaan API:
   1. Membatasi jenis identitas atau identitas yang dapat digunakan berdasarkan jaringan sumber, alamat IP, atau perangkat.
   2. Membatasi Google Cloud API dan metode yang dapat diakses berdasarkan jaringan sumber, alamat IP, perangkat, dan jenis identitas.
3. Meminimalkan risiko pemindahan data yang tidak sah dengan membatasi layanan, metode, Google Cloud project, Jaringan VPC, dan identitas yang tepat yang digunakan untuk menjalankan pertukaran data.
4. Memberikan akses hanya baca ke set data dan gambar eksternal yang tidak Anda kelola.
5. Pastikan klien di segmen yang kurang berhak istimewa tidak memiliki akses ke resourceGoogle Cloud di segmen yang lebih berhak istimewa; sekaligus mengizinkan akses ke arah lain.
6. Menyederhanakan konfigurasi yang sebelumnya memerlukan satu atau beberapa perantara perimeter.

Definisi ingress dan egress

Definisi ingress dan egress tidak bergantung pada operasi yang dipanggil pada resource. Oleh karena itu, definisinya mengacu pada arah permintaan dan bukan pada arah pergerakan data.

• Ingress: Merujuk pada akses apa pun oleh klien API dari luar perimeter layanan ke resource dalam perimeter layanan. Contoh:

  • Klien Cloud Storage di luar perimeter layanan memanggil operasi baca, tulis, atau salin Cloud Storage di resource Cloud Storage dalam perimeter.

• Egress: Merujuk pada akses apa pun yang melibatkan klien API atau resource dalam perimeter layanan dan resource di luar perimeter layanan. Contoh:

  • Klien Compute Engine dalam perimeter layanan memanggil operasi create Compute Engine dengan resource image di luar perimeter.
  • Klien Cloud Storage, di dalam atau di luar perimeter, yang memanggil perintah copy dengan satu bucket berada di dalam perimeter dan bucket lainnya berada di luar perimeter.

Model kebijakan

Aturan ingress atau egress terdiri dari blok from dan to dengan:

• from mereferensikan atribut klien API.
• to mereferensikan atribut layanan dan resource Google Cloud .

Beberapa aturan ingress dan egress dapat dikaitkan dengan perimeter layanan. Panggilan Google Cloud layanan diizinkan atau ditolak berdasarkan semantik berikut:

• Permintaan dari klien di luar perimeter ke Google Cloud resource di dalam perimeter diizinkan jika kondisi aturan ingress yang diperlukan terpenuhi.
• Permintaan dari klien dalam perimeter ke Google Cloud resource di luar perimeter diizinkan jika kondisi aturan egress yang diperlukan terpenuhi.
• Panggilan API yang melibatkan resource Google Cloud dalam perimeter dan resource Google Cloud di luar perimeter diizinkan jika ada aturan ingress yang dipenuhi klien (jika klien tidak berada dalam perimeter), dan aturan egress yang dipenuhi resource eksternal.

Contoh permintaan API yang diizinkan oleh aturan ingress

• Klien Cloud Storage di luar perimeter mendownload objek dari bucket Cloud Storage di dalam perimeter ke komputer lokal (misalnya, menggunakan perintah gcloud storage cp).
• Klien BigQuery di luar perimeter menggunakan tugas BigQuery di project di dalam perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya, menggunakan perintah bq query).
• VM Compute Engine di Jaringan VPC yang berada di luar perimeter menulis ke bucket Cloud Storage di dalam perimeter.

Contoh permintaan API yang diizinkan oleh aturan egress

• Klien Cloud Storage di dalam perimeter menyalin objek antara bucket Cloud Storage di luar perimeter dan bucket di dalam perimeter (misalnya, menggunakan perintah gcloud storage cp).

• Klien BigQuery di dalam perimeter menggunakan tugas BigQuery di project di luar perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya, menggunakan perintah bq query).

Contoh permintaan API yang diizinkan oleh kombinasi aturan ingress dan egress

• Klien Cloud Storage di luar perimeter menyalin objek antara bucket Cloud Storage di luar perimeter dan bucket di dalam perimeter (misalnya, menggunakan perintah gcloud storage cp).
• Klien BigQuery di luar perimeter menggunakan tugas BigQuery di project di luar perimeter untuk membuat kueri set data BigQuery di dalam perimeter (misalnya, menggunakan perintah bq query).
• Klien Compute Engine di luar perimeter membuat disk Compute Engine di luar perimeter menggunakan kunci Cloud KMS di dalam perimeter.

Di contoh BigQuery dan Compute Engine, aturan ingress tidak cukup, karena tugas BigQuery atau disk Compute Engine berada di luar perimeter. Aturan egress diperlukan untuk mengizinkan permintaan API yang melibatkan resource Google Cloud di dalam perimeter (set data BigQuery atau kunci Cloud KMS) dan resource di luar perimeter (tugas BigQuery atau disk Compute Engine).

Permintaan API yang melibatkan beberapa perimeter layanan

Jika resource yang diakses dan/atau klien API termasuk dalam perimeter layanan yang berbeda, kebijakan semua perimeter yang terlibat harus mengizinkan permintaan API. Misalnya, pertimbangkan klien dan bucket Cloud Storage a dalam perimeter layanan A dan bucket b dalam perimeter layanan B. Di contoh ini, agar klien Cloud Storage dapat menyalin objek dari bucket a ke bucket b dan dari bucket b ke bucket a, aturan ingress dan egress berikut diperlukan:

• aturan egress di perimeter A untuk mengizinkan akses ke bucket Cloud Storage b ,
• aturan egress di perimeter B untuk mengizinkan akses ke bucket Cloud Storage a,
• aturan ingress di perimeter B untuk mengizinkan akses bagi klien Cloud Storage yang berada di luar perimeter B.

Referensi aturan ingress

Aturan ingress dapat dikonfigurasi menggunakan Google Cloud konsol, file JSON, atau file YAML. Contoh berikut menggunakan format .yaml:

- ingressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
  title: TITLE

• - ingressFrom: - (Wajib) Memulai blok from yang mencantumkan sumber dan identitas yang diizinkan di luar perimeter.

• identityType: - (Atribut ini atau atribut identities harus digunakan) Atribut ini menentukan jenis identitas yang dapat digunakan dari sources (origin jaringan) yang ditentukan. Nilai yang dapat diterima: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY mengizinkan permintaan dari semua identitas, termasuk permintaan yang tidak diautentikasi. ANY_USER_ACCOUNT mengizinkan semua pengguna manusia, dan ANY_SERVICE_ACCOUNT mengizinkan semua akun layanan, tetapi ANY_USER_ACCOUNT dan ANY_SERVICE_ACCOUNT tidak mengizinkan permintaan yang tidak diautentikasi.

  Atribut ini tidak membatasi identitas berdasarkan organisasi. Misalnya, ANY_SERVICE_ACCOUNT mengizinkan akun layanan dari organisasi mana pun.

• identities: - (Atribut ini atau atribut identityType harus digunakan) Atribut ini memulai daftar akun layanan, akun pengguna, grup Google, atau identitas pihak ketiga yang dapat mengakses resource dalam perimeter.

• PRINCIPAL_IDENTIFIER - Menentukan akun pengguna, akun layanan, grup Google, atau identitas pihak ketiga yang ingin Anda beri akses ke resource dalam perimeter. Kontrol Layanan VPC hanya mendukung identitas berikut dari ID Principal API IAM v1:

  • Untuk akun pengguna dan akun layanan, gunakan format user:USER_EMAIL_ADDRESS dan serviceAccount:SA_EMAIL_ADDRESS.

  • Untuk identitas lainnya, gunakan format yang ditentukan di Grup identitas yang didukung.

  Untuk mengetahui informasi selengkapnya tentang identitas ini, lihat ID principal untuk kebijakan izin.

• sources: - (Wajib) Atribut ini merujuk pada daftar origin jaringan. Setiap nilai dalam daftar adalah tingkat akses atau project Google Cloud . Jika Anda menetapkan atribut accessLevel ke "*", kebijakan ingress akan mengizinkan akses dari origin jaringan mana pun. Jika Anda menetapkan atribut ini ke project Google Cloud , kebijakan ingress akan mengizinkan akses dari Jaringan VPC yang merupakan milik project tersebut.

  Nilai ini dapat dihapus saat project terkait dihapus secara permanen. Namun, penghapusan nilai ini tidak menyebabkan error. Selalu periksa apakah nilai ini ada saat memecahkan masalah.

• - resource: - (Gunakan atribut ini atau atribut accessLevel) Menentukan project atau Jaringan VPC dari luar perimeter yang ingin Anda berikan akses. Untuk menentukan project, gunakan format berikut: projects/PROJECT_NUMBER. Untuk menentukan Jaringan VPC, gunakan format berikut: //compute.googleapis.com/projects/PROJECT_ID/global/networks/NETWORK_NAME.

• - accessLevel: - (Atribut ini atau atribut resource harus digunakan) Menentukan tingkat akses dari luar perimeter yang diberikan akses. Jika Anda menetapkan atribut accessLevel ke "*", kebijakan ingress akan mengizinkan akses dari semua origin jaringan.

• ingressTo: - (Wajib) Memulai blok to yang mencantumkan operasi layanan yang diizinkan pada resource Google Cloud tertentu dalam perimeter.

• operations: - (Atribut ini atau atribut roles harus digunakan) Menandai awal daftar layanan yang dapat diakses serta tindakan/metode yang boleh diakses oleh klien yang memenuhi kondisi blok from.

• - serviceName: - (Wajib) Kolom ini dapat berupa nama layanan yang valid atau ditetapkan ke "*" untuk mengizinkan akses ke semua layanan. Misalnya, bigquery.googleapis.com adalah serviceName yang valid. Untuk daftar layanan yang tersedia, lihat Produk yang didukung.

• methodSelectors: - (Wajib jika serviceName bukan "*") Awal daftar metode yang boleh diakses oleh klien yang memenuhi kondisi blok from. Untuk mengetahui daftar metode dan izin yang dapat dibatasi untuk layanan, lihat Pembatasan metode layanan yang didukung.

  Untuk mengetahui daftar metode layanan yang tidak dapat dikontrol oleh Kontrol Layanan VPC, lihat Pengecualian metode layanan.

• - method: - (Atribut ini atau atribut permission harus digunakan) Kolom ini dapat berupa metode layanan yang valid, atau dapat ditetapkan ke "*" untuk mengizinkan akses ke semua metode layanan yang ditentukan.

• - permission: - (Atribut ini atau atribut method harus digunakan) Kolom ini harus berupa izin layanan yang valid. Akses ke resource di dalam perimeter diizinkan untuk operasi yang memerlukan izin.

  Jika permintaan ke resource memerlukan beberapa izin, Anda harus menentukan semua izin yang diperlukan dalam operasi yang sama agar aturan ingress berfungsi. Misalnya, jika permintaan ke resource BigQuery memerlukan izin bigquery.jobs.create dan bigquery.tables.create, Anda harus menentukan kedua izin ini dalam operasi yang sama. Selain itu, jika Anda menentukan izin beberapa kali untuk resource yang sama menggunakan konsolGoogle Cloud , izin tidak akan dibuat dalam operasi yang sama. Untuk menghindari masalah ini, tentukan semua izin untuk resource sekaligus.

• roles: - (Atribut ini atau atribut operations harus digunakan) Atribut ini merujuk pada daftar peran IAM yang menentukan cakupan akses untuk layanan yang ditentukan dalam aturan.

• ROLE_NAME - Menentukan satu peran atau kombinasi peran yang mencakup semua izin yang diperlukan untuk mengakses layanan. Untuk menentukan peran, gunakan format nama peran yang disebutkan di Komponen peran, kecuali format berikut: projects/PROJECT_ID/roles/IDENTIFIER.

  Untuk mengetahui informasi tentang layanan dan peran yang didukung, lihat Produk yang didukung.

• resources: - (Wajib) Atribut ini menentukan daftar resourceGoogle Cloud di Perimeter Layanan yang dapat diakses oleh klien di luar perimeter. Kolom ini dapat ditetapkan ke "*" untuk mengizinkan akses ingress ke resource Google Cloud mana pun di dalam perimeter.

• title: - (Opsional) Atribut ini menentukan judul aturan ingress. Judul harus unik dalam perimeter dan tidak boleh melebihi 100 karakter. Dalam kebijakan akses, panjang gabungan semua judul aturan tidak boleh melebihi 240.000 karakter.

Untuk membuat aturan ingress yang berfungsi, Anda harus menentukan atribut berikut:

• Atribut sources Anda harus menentukan accessLevel atau resource (projectGoogle Cloud atau Jaringan VPC), atau menetapkan atribut accessLevel ke "*".

• Atribut identityType atau identities
• Atribut resources
• Atribut serviceName

Setelah selesai mengonfigurasi file kebijakan ingress, lihat Memperbarui kebijakan ingress dan egress untuk mengetahui petunjuk tentang cara menerapkan file kebijakan ingress ke perimeter layanan Anda.

Jika Anda mengonfigurasi beberapa aturan ingress di perimeter layanan, Kontrol Layanan VPC mengizinkan permintaan jika memenuhi kondisi salah satu aturan ingress.

Referensi aturan egress

Aturan egress dapat dikonfigurasi menggunakan Google Cloud konsol, file JSON, atau file YAML. Contoh berikut menggunakan format .yaml:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD
      *OR*
      - permission: PERMISSION
    *OR*
    roles:
    - ROLE_NAME
    resources:
    - projects/PROJECT
    *OR*
    externalResources:
    - EXTERNAL_RESOURCE_PATH
  egressFrom:
    identityType: ANY_IDENTITY | ANY_USER_ACCOUNT | ANY_SERVICE_ACCOUNT
    *OR*
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
    sourceRestriction: RESTRICTION_STATUS
  title: TITLE

• - egressTo: - (Wajib) Memulai blok to yang mencantumkan operasi layanan yang diizinkan pada resource Google Cloud di project tertentu di luar perimeter.

• operations: - (Atribut ini atau atribut roles harus digunakan) Menandai awal daftar layanan yang dapat diakses serta tindakan/metode yang boleh diakses oleh klien yang memenuhi kondisi blok from.

• - serviceName: - (Wajib) Kolom ini dapat berupa nama layanan yang valid atau ditetapkan ke "*" untuk mengizinkan akses ke semua layanan. Untuk daftar layanan yang tersedia, lihat Produk yang didukung.

• methodSelectors: - (Wajib jika serviceName bukan "*") Awal daftar metode yang boleh diakses oleh klien yang memenuhi kondisi blok from. Untuk mengetahui daftar metode dan izin yang dapat dibatasi untuk layanan, lihat Pembatasan metode layanan yang didukung.

  Untuk mengetahui daftar metode layanan yang tidak dapat dikontrol oleh Kontrol Layanan VPC, lihat Pengecualian metode layanan.

• - method: - (Atribut ini atau atribut permission harus digunakan.) Kolom ini dapat berupa metode layanan yang valid, atau dapat ditetapkan ke "*" untuk mengizinkan akses ke semua metode layanan yang ditentukan.

• - permission: - (Atribut ini atau atribut method harus digunakan.) Kolom ini harus berupa izin layanan yang valid. Akses ke resource tertentu di luar perimeter diizinkan untuk operasi yang memerlukan izin.

  Jika permintaan ke resource memerlukan beberapa izin, Anda harus menentukan semua izin yang diperlukan dalam operasi yang sama agar aturan egress berfungsi. Misalnya, jika permintaan ke resource BigQuery memerlukan izin bigquery.jobs.create dan bigquery.tables.create, Anda harus menentukan kedua izin ini dalam operasi yang sama. Selain itu, jika Anda menentukan izin beberapa kali untuk resource yang sama menggunakan konsolGoogle Cloud , izin tidak akan dibuat dalam operasi yang sama. Untuk menghindari masalah ini, tentukan semua izin untuk resource sekaligus.

• roles: - (Atribut ini atau atribut operations harus digunakan) Atribut ini merujuk pada daftar peran IAM yang menentukan cakupan akses untuk layanan yang ditentukan dalam aturan.

• ROLE_NAME - Menentukan satu peran atau kombinasi peran yang mencakup semua izin yang diperlukan untuk mengakses layanan. Untuk menentukan peran, gunakan format nama peran yang disebutkan di Komponen peran, kecuali format berikut: projects/PROJECT_ID/roles/IDENTIFIER.

  Untuk mengetahui informasi tentang layanan dan peran yang didukung, lihat Produk yang didukung.

• resources: - Atribut ini adalah daftar Google Cloud resource yang ditentukan oleh projectnya yang dapat diakses oleh klien dalam perimeter. Anda dapat menetapkan kolom ini ke "*" untuk mengizinkan akses egress ke resource Google Cloud mana pun.

• externalResources: - Atribut ini hanya digunakan untuk menentukan resource BigQuery Omni. Atribut ini adalah daftar resource eksternal yang didukung oleh BigQuery Omni yang dapat diakses oleh klien di dalam perimeter. Anda hanya dapat menentukan resource Amazon S3 atau Azure Blob Storage. Untuk Amazon S3, format yang didukung adalah s3://BUCKET_NAME. Untuk Azure Storage, format yang didukung adalah azure://myaccount.blob.core.windows.net/CONTAINER_NAME.

• egressFrom: - (Wajib) Memulai blok from yang mencantumkan sumber dan identitas yang diizinkan dalam perimeter.

• identityType: - (Atribut ini atau atribut identities harus digunakan.) Atribut ini menentukan jenis identitas yang dapat digunakan untuk mengakses resource tertentu di luar perimeter. Nilai yang dapat diterima: ANY_IDENTITY, ANY_USER_ACCOUNT, ANY_SERVICE_ACCOUNT. ANY_IDENTITY mengizinkan permintaan dari semua identitas, termasuk permintaan yang tidak diautentikasi. ANY_USER_ACCOUNT mengizinkan semua pengguna manusia, dan ANY_SERVICE_ACCOUNT mengizinkan semua akun layanan, tetapi ANY_USER_ACCOUNT dan ANY_SERVICE_ACCOUNT tidak mengizinkan permintaan yang tidak diautentikasi.

  Atribut ini tidak membatasi identitas berdasarkan organisasi. Misalnya, ANY_SERVICE_ACCOUNT mengizinkan akun layanan dari organisasi mana pun.

• identities: - (Atribut ini atau atribut identityType harus digunakan.) Atribut ini memulai daftar akun layanan, akun pengguna, grup Google, atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter.

• PRINCIPAL_IDENTIFIER - Menentukan akun pengguna, akun layanan, grup Google, atau identitas pihak ketiga yang dapat mengakses resource tertentu di luar perimeter. Kontrol Layanan VPC hanya mendukung identitas berikut dari ID Principal API IAM v1:

  • Untuk akun pengguna dan akun layanan, gunakan format user:USER_EMAIL_ADDRESS dan serviceAccount:SA_EMAIL_ADDRESS.

  • Untuk identitas lainnya, gunakan format yang ditentukan di Grup identitas yang didukung.

  Untuk mengetahui informasi selengkapnya tentang identitas ini, lihat ID principal untuk kebijakan izin.

• sources: - Atribut ini menentukan daftar origin jaringan. Nilai atribut dapat berupa daftar project atau tingkat akses. Untuk menerapkan batasan akses berdasarkan sources yang ditentukan, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_ENABLED.

  Kontrol Layanan VPC mengevaluasi atribut accessLevel dan resource dari atribut sources sebagai kondisi OR.

• - resource: - (Gunakan atribut ini atau atribut accessLevel) Menentukan satu atau beberapa resourceGoogle Cloud dari perimeter layanan yang ingin Anda izinkan untuk mengakses data di luar perimeter. Atribut ini hanya mendukung project. Untuk menentukan project, gunakan format berikut: projects/PROJECT_NUMBER.

  Anda tidak dapat menggunakan "*" di atribut ini untuk mengizinkan semua resource Google Cloud .

• - accessLevel: - (Gunakan atribut ini atau atribut resource) Menentukan satu atau beberapa tingkat akses yang mengizinkan resource di dalam perimeter untuk mengakses resource di luar perimeter. Pastikan tingkat akses ini berasal dari kebijakan akses yang sama dengan perimeter. Jika Anda menetapkan atribut accessLevel ke "*", kebijakan egress akan mengizinkan akses dari origin jaringan mana pun.

• sourceRestriction: - (Wajib jika Anda menggunakan atribut sources) Atribut ini memungkinkan Anda menerapkan batasan akses berdasarkan sources yang ditentukan. Untuk menerapkan batasan akses ini, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_ENABLED.

  Untuk menonaktifkan batasan akses ini, tetapkan atribut sourceRestriction ke SOURCE_RESTRICTION_DISABLED.

  Jika Anda tidak menetapkan nilai apa pun untuk atribut sourceRestriction, Kontrol Layanan VPC akan mengabaikan atribut sources dan tidak menerapkan batasan akses.

• title: - (Opsional) Atribut ini menentukan judul aturan egress. Judul harus unik dalam perimeter dan tidak boleh melebihi 100 karakter. Dalam kebijakan akses, panjang gabungan semua judul aturan tidak boleh melebihi 240.000 karakter.

Setelah selesai mengonfigurasi file kebijakan egress, lihat Memperbarui kebijakan ingress dan egress untuk mengetahui petunjuk tentang cara menerapkan file kebijakan egress ke perimeter layanan Anda.

Jika Anda mengonfigurasi beberapa aturan egress dalam perimeter layanan, Kontrol Layanan VPC akan mengizinkan permintaan jika memenuhi kondisi salah satu aturan egress.

Menggunakan mode uji coba untuk menguji kebijakan ingress/egress

Jika Anda tidak ingin memberikan akses ke semua metode layanan, terkadang sulit untuk menentukan daftar tepat dari metode yang diizinkan. Hal ini dapat terjadi karena metode tertentu untuk layanan dapat menyebabkan metode lain dipanggil di layanan Google Cloud terpisah. Misalnya, BigQuery memuat tabel dari bucket Cloud Storage untuk menjalankan kueri.

Untuk menentukan kumpulan metode yang diizinkan dengan benar, Anda dapat menggunakan Mode uji coba Kontrol Layanan VPC. Lakukan ini dengan terlebih dahulu mengaktifkan perimeter dalam mode uji coba tanpa kebijakan ingress atau egress, dan kumpulkan daftar metode yang dipanggil dari log audit. Kemudian, tambahkan metode ini secara bertahap ke kebijakan ingress/egress dalam mode uji coba hingga semua pelanggaran berhenti. Pada saat itu, konfigurasi dapat dipindahkan dari mode uji coba ke mode diterapkan.

Fitur yang tidak didukung

Fitur berikut saat ini tidak didukung untuk aturan ingress dan egress:

1. Mengidentifikasi Google Cloud resource menurut label, bukan project.
2. Tidak semua layanan mendukung aturan ingress/egress per metode. Lihat Pembatasan metode layanan yang didukung.
3. Jenis identitas ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT tidak dapat digunakan untuk mengizinkan operasi berikut:
   • Semua operasi Container Registry.
   • Semua operasi layanan notebooks.googleapis.com.
   • Operasi Cloud Storage menggunakan URL bertanda tangan.
   • Dengan Cloud Run Functions, deployment Cloud Function dari mesin lokal.
   • Mengekspor log dari sink Cloud Logging ke resource Cloud Storage.
   • Semua operasi antarmuka web Apache Airflow di Cloud Composer.
4. Pahami batasan penggunaan grup identitas di aturan ingress dan egress.

Batasan

Untuk mengetahui informasi tentang batasan ingress dan egress, lihat Kuota dan batasan.

Langkah berikutnya

• Selesaikan codelab ini untuk mempelajari cara memperbaiki pelanggaran ingress dan egress.
• Pelajari cara menyiapkan dan melihat dasbor pelanggaran.