服務範圍詳細資料與設定

本頁面說明服務範圍,並提供設定範圍的高階步驟。

關於服務範圍

本節詳細說明服務範圍的運作方式,以及強制執行與模擬測試範圍之間的差異。

如要保護專案中的服務,並降低資料竊取風險,您可以在專案或虛擬私有雲網路層級指定服務範圍。 Trusted Cloud by S3NS 如要進一步瞭解服務範圍的優點,請參閱 VPC Service Controls 總覽

此外,您可以使用「虛擬私有雲可存取的服務」功能,限制服務範圍內可存取的服務,例如服務範圍內託管的虛擬私有雲網路中的 VM。

您可以設定強制執行或模擬測試模式的 VPC Service Controls 範圍。強制執行和試營運的邊界都適用相同的設定步驟。差異在於,模擬執行的範圍會記錄違規事項,就好像範圍已強制執行一樣,但不會禁止存取受限服務。

強制執行模式

服務範圍的預設模式為強制執行模式。強制執行服務範圍時,系統會拒絕違反範圍政策的要求,例如從範圍外要求存取受限服務。

強制執行模式下的範圍會強制執行範圍界線,保護範圍設定中受限制的服務資源。 Trusted Cloud 除非符合安全範圍必要進出規則的條件,否則對受限服務的 API 要求不會跨越安全範圍界線。強制執行的邊界可防範資料外洩風險,例如遭竊的憑證、設定錯誤的權限,或是可存取專案的惡意內部人員。

模擬測試模式

在模擬測試模式下,系統不會拒絕違反周邊政策的要求,只會記錄這些要求。服務範圍試執行可用於測試範圍設定,以及監控服務用量,但不會禁止存取資源。以下是一些常見用途:

  • 判斷變更現有服務範圍的影響。

  • 預覽新增服務範圍的影響。

  • 監控來自服務範圍外的受限制服務要求。舉例來說,您可以識別特定服務的要求來源,或找出貴機構中非預期的服務用量。

  • 在開發環境中建立與實際工作環境類似的周邊架構。您可以在將變更提交至實際工作環境之前,找出並解決服務安全防護措施造成的任何問題。

詳情請參閱模擬執行模式

服務範圍設定階段

如要設定 VPC Service Controls,可以使用 Trusted Cloud 主控台、gcloud指令列工具Access Context Manager API

您可以按照下列基本步驟設定 VPC Service Controls:

  1. 建立存取權政策。

  2. 使用服務範圍保護 Google 代管資源。

  3. 設定可透過虛擬私有雲存取的服務,進一步限制範圍內服務的使用方式 (選用)。

  4. 透過虛擬私人雲端網路設定私人連線 (選用)。

  5. 使用輸入規則,允許從服務範圍外部進行情境感知存取 (選用)。

  6. 使用輸入和輸出規則設定安全資料交換 (選用)。

建立存取權政策

存取權政策會收集您為貴機構建立的服務範圍和存取層級。機構可為整個機構設定一項存取權政策,並為資料夾和專案設定多項範圍存取權政策。

您可以使用 Trusted Cloud 主控台、gcloud 指令列工具Access Context Manager API 建立存取權政策

如要進一步瞭解 Access Context Manager 和存取權政策,請參閱 Access Context Manager 總覽

使用服務範圍保護 Google 代管資源

服務範圍的用途是保護貴機構專案所使用的服務。確定您要保護的專案和服務後,請建立一或多個服務範圍

如要進一步瞭解服務範圍的運作方式,以及可使用 VPC Service Controls 保護的服務,請參閱 VPC Service Controls 總覽

部分服務與 VPC Service Controls 搭配使用時具有限制。如果您在設定服務範圍後發生專案相關問題,請參閱疑難排解

設定可透過虛擬私有雲存取的服務

為服務範圍啟用可透過虛擬私有雲存取的服務後,服務範圍內網路端點的存取權會受到限制,只能存取您指定的一組服務。

如要進一步瞭解如何限制服務範圍內的存取權,只允許存取特定服務,請參閱可存取的虛擬私有雲服務

透過虛擬私人雲端網路設定私人連線

如要為服務範圍保護的虛擬私有雲端網路和內部部署主機提供額外的安全措施,建議您使用私人 Google 存取權。詳情請參閱內部部署網路的私人連線

想進一步瞭解如何設定私人連線,請參閱設定連至 Google API 與服務的私人連線

將 Trusted Cloud 資源的存取權限設為僅限透過虛擬私有雲端網路進行私人存取,代表系統會拒絕透過 Trusted Cloud 主控台和 Cloud Monitoring 主控台等介面進行的存取操作。不過,您仍可繼續透過與受限資源共用服務範圍或重疊範圍的虛擬私人雲端網路,使用 gcloud 指令列工具或 API 用戶端。

使用輸入規則,允許從服務範圍外部進行情境感知存取

您可以根據用戶端屬性,允許情境感知存取受範圍限制的資源。您可以指定用戶端屬性,例如身分類型 (服務帳戶或使用者)、身分、裝置資料和網路來源 (IP 位址或 VPC 網路)。

舉例來說,您可以根據 IPv4 和 IPv6 位址範圍設定連入規則,允許透過網際網路存取範圍內的資源。如要進一步瞭解如何使用輸入規則設定情境感知存取權,請參閱「情境感知存取權」。

使用輸入和輸出規則設定安全資料交換

專案只能納入一個服務範圍。如要允許跨越服務範圍邊界進行通訊,請設定輸入和輸出規則。舉例來說,您可以指定輸入和輸出規則,讓多個安全防護範圍的專案在獨立的安全防護範圍中共用記錄。如要進一步瞭解安全資料交換的使用案例,請參閱「安全資料交換」。