我已经为GCP中的项目创建了VPC服务范围,并向其中添加了Google Cloud Storage。
GCP中是否有一种方法仅允许特定VPC中的VM或资源访问Google Cloud Storage API(通过gsutil或任何其他方式)?
如果我有三个VPC( vpc-a , vpc-b 和 vpc-c ),我只希望 vpc-a 中的实例访问Cloud Storage存储桶和VPC服务周界以拒绝访问从 vpc-b 和 vpc-c 获取资源。
我所有的实例都是私有的(没有公共IP地址),并认为VPC和VM在一个项目中(已添加到VPC Service Perimeter中)。如何实现以上设置?
答案 0 :(得分:1)
Access Context Manager,GCP服务控件或Google Cloud Storage不支持此功能。
VPC服务控件是基于项目的,而不是基于VPC的。 VPC服务控制会占用项目资源。您将需要能够从访问此岛中删除某些资源(VPC)。
访问上下文管理器未为VPC子网或专用IP CIDR块定义条件。
VPC服务控件不会阻止项目内部的资源。
没有支持的方法来阻止一个VPC,而在两个VPC都位于同一项目内的情况下,允许另一个方法。