1

我为 GCP 中的一个项目创建了一个 VPC 服务边界,并向其中添加了 Google Cloud Storage。

GCP 中是否有方法允许仅访问特定 VPC 中的虚拟机或资源(通过 gsutil 或任何其他方式)访问 Google Cloud Storage API?

如果我有三个 VPC(vpc-avpc-bvpc-c),我只希望vpc-a中的实例访问 Cloud Storage 存储桶和 VPC 服务边界以拒绝访问来自vpc-bvpc-的资源丙

我的所有实例都是私有的(没有公共 IP 地址),并认为 VPC 和 VM 位于一个项目中(添加到 VPC 服务边界中)。如何实现上述设置?

4

1 回答 1

1

Access Context Manager、GCP Service Controls 或 Google Cloud Storage 不支持此功能。

VPC 服务控制是基于项目的,而不是基于 VPC。VPC Service Controls 使项目的资源孤岛。您需要能够从访问该岛中删除某些资源 (VPC)。

Access Context Manager 没有为 VPC 子网或私有 IP CIDR 块定义条件。

VPC Service Controls 不会阻止项目内的资源。

如果两个 VPC 都在同一个项目中,则不支持阻止一个 VPC 并允许另一个 VPC 的方法。

于 2019-08-02T17:24:56.410 回答