Рейтинг:1

Ограничить доступ к GCP

флаг us

Наша компания недавно начала использовать GCP. В основном мы используем bigquery для хранения данных. Мы предоставляем доступ к GCP на основе учетной записи пользователя (gmail). Теперь нам нужен более безопасный доступ ко всем службам GCP, потому что сотрудники могут подключаться к bigquery где угодно, если у них есть учетная запись, созданная нашей компанией. Мы хотим ограничить доступ к сервисам GCP, если они физически не находятся в головных офисах или филиалах. Мы хотим защитить данные, хранящиеся в Big Query, не с помощью информации об учетной записи пользователя, а более безопасным способом.

Ниже приведены решения, которые я придумал.

  • разрешить доступ к проекту компании в GCP только через VPN компании (= разрешить определенные IP-адреса (IP-адреса vpn) только с использованием средств управления услугами VPC?)
  • разрешить только IP-адреса компании, которые являются динамическими IP-адресами (но могут ожидаться)

Так как я очень новичок в GCP. Я не уверен, что эти предложения реально работают. Или поинтересуйтесь, какие другие наиболее экономичные варианты для достижения этой цели. Если возможно, я также хочу знать, есть ли способ загрузить файл учетных данных для каждого пользователя и получить доступ к GCP только при использовании учетной записи пользователя и загруженного файла учетных данных (этот файл учетных данных будет загружен только на устройствах компании)

флаг jp
[Это] (https://stackoverflow.com/a/62704832/12428794) отвечает на ваш вопрос?
남유송 avatar
флаг us
@Serhii Rohoza это мне очень помогло. Спасибо огромное! я постараюсь изучить больше об этом.
флаг jp
*@user770239* Спасибо! Я разместил это решение в качестве ответа сообщества вики здесь, пожалуйста, проголосуйте за него / примите его, если оно было вам полезно.
Рейтинг:0
флаг ng

Поскольку вы входите в GCP, я бы порекомендовал проверить эту статью о Аккаунт облачной службы Google.
Кроме того, здесь у вас есть предопределенные роли и разрешения для Большой запрос.
Наконец, чтобы избежать каких-либо неожиданностей, я бы рекомендовал углубиться в контроль Стоимость BigQuery

남유송 avatar
флаг us
Спасибо огромное! Это функция, которую я искал. Возможно, я не знаю, как им пользоваться, но я изучу ссылки, которые вы мне предоставили. Я очень ценю это. Я вернусь с дополнительными вопросами, так как у меня могут возникнуть проблемы с настройками этих учетных записей облачных служб.
Рейтинг:0
флаг jp

Я разместил ответ, предоставленный @Фелипе Хоффа в Переполнение стека чтобы сделать его более заметным. Не стесняйтесь изменить или улучшить его.

Вы можете иметь BigQuery за VPC:

введите описание изображения здесь

Доступ из Интернета к управляемым ресурсам в пределах периметра службы по умолчанию запрещен. При желании вы можете включить доступ на основе контекста запроса. Для этого вы можете создать уровни доступа, которые контролируют доступ на основе ряда атрибутов, таких как исходный IP-адрес. Запросы из Интернета отклоняются, если они не соответствуют критериям, определенным в уровне доступа.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.