VPC Service Controls 允许您为 Google Cloud 资源定义服务边界,从而增强数据的安全性。此服务边界可限制跨边界的数据移动,从而降低数据渗漏风险。
前提条件
本文假定您之前已执行以下操作:
- 在广告数据中心账号中指定了管理项目。
- 将您的服务账号更新为包含
gcp-sa-adsdatahub.iam.gserviceaccount.com的电子邮件地址。如果您尚未执行此操作,或者不确定是否需要执行此操作,请与广告数据中心支持团队联系。 - 与广告数据中心支持团队取得了联系,针对 VPC Service Controls 配置您的账号。
启用 VPC Service Controls
如果您之前没有设置过 VPC Service Controls,请参阅 VPC Service Controls 快速入门。该快速入门将引导您完成 VPC Service Controls 的初始设置。完成快速入门后,请按照以下说明操作。
广告数据中心专用设置
- 进入 VPC Service Controls 控制台,然后选择一个现有服务边界。
- 添加您要在边界内保护的项目:您必须添加管理项目,以及任何在广告数据中心内用于输入或输出数据的项目。
- 将广告数据中心和 BigQuery 添加为边界内的受限服务。
- VPC Service Controls 建议限制边界内的所有服务。
限制
某些广告数据中心功能(例如自定义受众群体启用、自定义出价、用户提供的数据匹配和 LiveRamp 匹配表)需要将某些用户数据导出到 VPC Service Controls 边界之外。如果将广告数据中心添加为受限服务,它将绕过 VPC Service Controls 针对这些功能的政策,以保留其功能。
所有依赖服务都必须作为允许的服务包含在同一 VPC Service Controls 边界内。例如,由于广告数据中心依赖于 BigQuery,因此还必须添加 BigQuery。通常,VPC Service Controls 最佳实践建议包含边界内的所有服务,即“限制所有服务”。
对于采用双层级广告数据中心账号结构的客户(例如拥有子公司的代理机构),其所有的管理项目都应位于同一边界内。为简单起见,广告数据中心建议采用双层级账号结构的客户将其管理项目限制到同一 Google Cloud 组织中。