本页面介绍如何为 VPC Service Controls 边界配置入站和出站政策。
您可以为现有边界配置入站流量和出站流量政策,也可以在创建边界时添加入站流量和出站流量政策。
更新服务边界的入站流量和出站流量政策
控制台
在 Cloud de Confiance 控制台导航菜单中,点击安全,然后点击 VPC Service Controls。
选择现有的服务边界。
点击修改。
在修改服务边界页面上,点击入站流量政策或出站流量政策。
展开要修改的入站流量规则或出站流量规则。
在来源和目标部分中,修改您要更改的入站流量规则或出站流量规则属性。
- 如需查看入站流量规则属性的列表,请参阅入站流量规则参考。
- 如需查看出站流量规则属性的列表,请参阅出站流量规则参考。
YAML 特性参考文档描述了 Cloud de Confiance 控制台中显示的特性,但 Cloud de Confiance 控制台使用的名称略有不同。
点击保存。
gcloud
要更新边界政策,请运行以下命令之一,并将 variables 替换为适当的值:
gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml
例如:
gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml
在创建边界期间设置入站和出站政策
控制台
在 Cloud de Confiance 控制台导航菜单中,点击安全,然后点击 VPC Service Controls。
点击新建边界。
如需了解其他服务边界配置,请参阅创建服务边界。
在创建服务边界页面上,点击入站流量政策或出站流量政策。
点击添加规则。
在来源和目标部分中,指定您要配置的入站流量或出站流量规则属性。
- 如需查看入站流量规则属性的列表,请参阅入站流量规则参考。
- 如需查看出站流量规则属性的列表,请参阅出站流量规则参考。
YAML 特性参考文档描述了 Cloud de Confiance 控制台中显示的特性,但 Cloud de Confiance 控制台使用的名称略有不同。
点击创建。
gcloud
在创建边界期间运行以下命令以创建入站/出站政策:
gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT" gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"
例如:
gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"