Управляемые сервисы Google (BigQuery, облачное хранилище и т. Д.) Через VPC/VPN
Мы планируем использовать Big Query и Cloud Storage, но у нас есть вопросы относительно доступа через VPN/VPC.
Поскольку Big Query, GCS являются управляемыми службами, то правильно предположить, что невозможно ограничить доступ к сегментам уровня проекта и наборам данных для соединений, входящих в VPC.
Насколько мы понимаем, эти сервисы проходят аутентификацию в Googles Global API Infrastructure и по определению являются публично доступными.
Можно ли ограничить доступ к управляемым службам Google входящим соединением VPC и удалить общедоступную / интернет-аутентификацию и авторизацию для наших проектов?
3 ответа
К сожалению, то, что вы предлагаете, не может быть сделано.
Если предоставленная аутентификация имеет доступ к контенту, доступ будет предоставлен; если это не так, то не будет.
Сеть, из которой осуществляется доступ к контенту, не учитывается. Брандмауэр Compute Engine также не применяется, потому что, как и Google Cloud Load Balancer, компоненты Google Cloud Storage не живут в сети VPC вашего проекта.
Это достигается с помощью VPC Service Controls, который сейчас (октябрь 2018 г.) находится в закрытой бета-версии и требует довольно много работы:
Я думаю, что это может быть достигнуто с помощью чего-то, что теперь называется «Private Service Connect» в рамках GCP.
https://cloud.google.com/vpc/docs/private-service-connect
https://medium.com/google-cloud/private-service-connect-c99e3e94537b