在多部门 GCP 组织中是否有使用 VPC 服务控制的好方法

tag-icon tag-icon google-cloud-platform
在多部门 GCP 组织中是否有使用 VPC 服务控制的好方法

我对 GCP 中的 VPC 服务控制(“VSC”)有疑问。

假设您的公司有多个部门,并且您想在 GCP 上创建一个“组织”并为每个部门使用一个“VSC”。

那么,是否可以限制“服务边界”,使得只能设置各个部门独立处理的GCP项目的“服务边界”呢?

我认为这取决于部门对 BigQuery 施加什么样的 IP 限制,因此如果只有信息系统部门可以更改 VSC,我认为这会降低其可用性。我问是否有更好的方法可以做到这一点,因为每个部门的人员都能够更改其他部门的设置并不好。

答案1

您可以使用访问级别,根据文档 使用访问级别,您可以指定公共 IP CIDR 块以及您想要允许访问受 VPC 服务控制保护的资源的个人用户和服务账户。

我还发现了例子描述如何创建仅允许从指定范围的 IP 地址进行访问的访问级别条件

这样,当您创建服务边界时,您可以选择已经创建的访问级别。

这里有一个指导创建服务边界。

您还可以添加访问级别在建立周界后

答案2

配置 VPC 服务控制基于组织级别的角色。这意味着如果您向其中一个用户分配编辑权限,他们将能够配置所有服务范围和访问级别。

您可以通过拥有多个组织(在本例中是部门)并在那里分配特定用户权限来执行您所描述的设置。

相关内容