我们公司最近开始使用 GCP。我们主要使用 bigquery 来存储数据。我们根据用户帐户 (gmail) 提供对 GCP 的访问。现在,我们希望更安全地访问所有 GCP 服务,因为只要员工拥有我们公司创建的帐户,他们就可以在任何地方连接到 bigquery。如果他们不在总部或分支机构,我们希望限制对 GCP 服务的访问。我们希望以更安全的方式保护存储在 Big Query 中的数据,而不是使用用户帐户信息。
以下是我想到的解决方案。
- 仅允许通过公司的 VPN 访问 GCP 中的公司项目(=仅允许使用 VPC 服务控制的某些 ip 地址(vpn ip 地址)?)
- 仅允许公司的 IP 地址,这些 IP 地址是动态 IP 地址(但可以预期)
由于我对 GCP 还很陌生。我不确定这些建议是否真的有效。或者,想知道还有哪些最具成本效益的选项可以实现这一点。如果可能的话,我还想知道是否有办法为每个用户下载凭证文件,并且只有使用用户帐户和下载的凭证文件才能访问 GCP(此凭证文件将仅在公司的设备中下载)
答案1
我发布了一个答案@Felipe Hoffa在堆栈溢出使其更加显眼。请随意更改或增强它。
您可以在 VPC 后面使用 BigQuery:
- https://cloud.google.com/vpc-service-controls
- https://cloud.google.com/vpc-service-controls/docs/overview
默认情况下,从 Internet 访问服务边界内的托管资源会被拒绝。您也可以选择根据请求的上下文启用访问权限。为此,您可以创建访问级别,根据多个属性(例如源 IP 地址)控制访问权限。如果从 Internet 发出的请求不符合访问级别中定义的条件,则会被拒绝。
答案2
当你加入 GCP 时,我建议你查看一下这篇文章Google云服务帐号。
在这里,您可以预定义角色和权限BigQuery。
最后,为了避免任何意外,我建议深入控制BigQuery 费用