Untuk menentukan layanan yang dapat diakses dari jaringan di dalam perimeter layanan Anda, gunakan fitur layanan yang dapat diakses VPC. Fitur layanan yang dapat diakses VPC membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda.
Fitur layanan yang dapat diakses VPC hanya berlaku untuk traffic dari endpoint jaringan VPC Anda ke Google API. Tidak seperti perimeter layanan, fitur layanan yang dapat diakses VPC tidak berlaku untuk komunikasi dari satu Google API ke Google API lainnya, atau jaringan unit tenancy, yang digunakan untuk menerapkan layanan Google Cloud tertentu.
Saat mengonfigurasi layanan yang dapat diakses VPC untuk perimeter, Anda dapat menentukan daftar layanan individual, serta menyertakan nilai RESTRICTED-SERVICES, yang secara otomatis menyertakan semua layanan yang dilindungi oleh perimeter.
Untuk memastikan akses ke layanan yang diharapkan dibatasi sepenuhnya, Anda harus:
Konfigurasi perimeter untuk melindungi kumpulan layanan yang sama yang ingin Anda buat dapat diakses.
Konfigurasi VPC di perimeter untuk menggunakan VIP terbatas.
Gunakan firewall lapisan 3.
Contoh: Jaringan VPC dengan akses Cloud Storage saja
Misalkan Anda memiliki perimeter layanan, my-authorized-perimeter, yang mencakup
dua project: my-authorized-compute-project dan my-authorized-gcs-project.
Perimeter ini melindungi layanan Cloud Storage.
my-authorized-gcs-project menggunakan sejumlah layanan, termasuk Cloud Storage, Bigtable, dan lainnya.
my-authorized-compute-project menghosting jaringan VPC.
Karena kedua project berbagi perimeter, jaringan VPC di
my-authorized-compute-project memiliki akses ke resource layanan di
my-authorized-gcs-project, terlepas dari apakah perimeter melindungi layanan tersebut atau tidak. Namun, Anda ingin jaringan VPC Anda hanya memiliki
akses ke resource Cloud Storage di my-authorized-gcs-project.
Anda khawatir bahwa jika kredensial untuk VM di jaringan VPC Anda dicuri, pihak yang tidak berwenang dapat memanfaatkan VM tersebut untuk mengekstrak data dari layanan yang tersedia di my-authorized-gcs-project.
Anda telah mengonfigurasi jaringan VPC untuk menggunakan VIP terbatas, yang membatasi akses dari jaringan VPC Anda hanya ke API yang didukung oleh Kontrol Layanan VPC. Sayangnya, hal itu tidak mencegah jaringan VPC Anda mengakses layanan yang didukung, seperti resource Bigtable di my-authorized-gcs-project.
Untuk membatasi akses jaringan VPC hanya ke layanan penyimpanan, Anda mengaktifkan layanan yang dapat diakses VPC dan menetapkan storage.googleapis.com sebagai layanan yang diizinkan:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
Berhasil! Jaringan VPC di my-authorized-compute-project kini dibatasi hanya untuk mengakses resource layanan Cloud Storage. Pembatasan ini juga berlaku untuk project dan jaringan VPC yang nantinya akan Anda tambahkan ke perimeter.