限制对 GCP 的访问

限制对 GCP 的访问

我们公司最近开始使用 GCP。我们主要使用 bigquery 来存储数据。我们根据用户帐户 (gmail) 提供对 GCP 的访问。现在,我们希望更安全地访问所有 GCP 服务,因为只要员工拥有我们公司创建的帐户,他们就可以在任何地方连接到 bigquery。如果他们不在总部或分支机构,我们希望限制对 GCP 服务的访问。我们希望以更安全的方式保护存储在 Big Query 中的数据,而不是使用用户帐户信息。

以下是我想到的解决方案。

  • 仅允许通过公司的 VPN 访问 GCP 中的公司项目(=仅允许使用 VPC 服务控制的某些 ip 地址(vpn ip 地址)?)
  • 仅允许公司的 IP 地址,这些 IP 地址是动态 IP 地址(但可以预期)

由于我对 GCP 还很陌生。我不确定这些建议是否真的有效。或者,想知道还有哪些最具成本效益的选项可以实现这一点。如果可能的话,我还想知道是否有办法为每个用户下载凭证文件,并且只有使用用户帐户和下载的凭证文件才能访问 GCP(此凭证文件将仅在公司的设备中下载)

答案1

我发布了一个答案@Felipe Hoffa堆栈溢出使其更加显眼。请随意更改或增强它。

您可以在 VPC 后面使用 BigQuery:

在此处输入图片描述

默认情况下,从 Internet 访问服务边界内的托管资源会被拒绝。您也可以选择根据请求的上下文启用访问权限。为此,您可以创建访问级别,根据多个属性(例如源 IP 地址)控制访问权限。如果从 Internet 发出的请求不符合访问级别中定义的条件,则会被拒绝。

答案2

当你加入 GCP 时,我建议你查看一下这篇文章Google云服务帐号
在这里,您可以预定义角色和权限BigQuery
最后,为了避免任何意外,我建议深入控制BigQuery 费用

相关内容