如要定義可從服務範圍內網路存取的服務,請使用「VPC 可存取的服務」功能。虛擬私有雲可存取的服務功能會限制可從服務範圍內網路端點存取的服務集。
虛擬私有雲可存取服務功能僅適用於從虛擬私有雲網路端點到 Google API 的流量。與服務安全防護措施不同,VPC 可存取的服務功能不適用於 Google API 之間的通訊,也不適用於租戶單元的網路 (用於實作特定 Trusted Cloud 服務)。
為範圍設定可透過 VPC 存取的服務時,您可以指定個別服務的清單,也可以加入 RESTRICTED-SERVICES 值,自動納入範圍保護的所有服務。
如要確保完全限制存取預期服務,請務必採取下列行動:
設定範圍,保護您要開放存取的同一組服務。
在服務範圍內設定虛擬私有雲,使用受限 VIP。
使用第 3 層防火牆。
範例:僅限存取 Cloud Storage 的虛擬私有雲網路
假設您有一個服務範圍 my-authorized-perimeter,其中包含兩個專案:my-authorized-compute-project 和 my-authorized-gcs-project。這個範圍會保護 Cloud Storage 服務。
my-authorized-gcs-project 使用多項服務,包括 Cloud Storage 和 Bigtable 等。my-authorized-compute-project 託管虛擬私有雲網路。
由於這兩個專案共用一個範圍,因此 my-authorized-compute-project 中的虛擬私有雲網路可以存取 my-authorized-gcs-project 中的服務資源,無論範圍是否保護這些服務都一樣。不過,您希望虛擬私有雲網路只能存取 my-authorized-gcs-project 中的 Cloud Storage 資源。
您擔心虛擬私有雲網路中 VM 的憑證遭竊後,攻擊者可能會利用該 VM 從 my-authorized-gcs-project 中任何可用的服務外洩資料。
您已將 VPC 網路設定為使用受限制的 VIP,因此 VPC 網路只能存取 VPC Service Controls 支援的 API。但這無法阻止您的 VPC 網路存取支援的服務,例如 my-authorized-gcs-project 中的 Bigtable 資源。
如要限制 VPC 網路只能存取儲存空間服務,請啟用可透過虛擬私有雲存取的服務,並將 storage.googleapis.com 設為允許的服務:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
大功告成!my-authorized-compute-project 中的虛擬私有雲網路現在只能存取 Cloud Storage 服務的資源。日後新增至安全防護範圍的任何專案和 VPC 網路,也適用這項限制。