您可以透過 VPC Service Controls 定義 Google Cloud 資源的服務範圍,藉此強化資料安全性。這個服務範圍會限制資料在範圍邊界內的移動,以降低資料竊取風險。
必要條件
本文假設您先前已經:
- 在廣告資料中心帳戶中指定管理員專案。
- 將服務帳戶電子郵件地址更新為包含
gcp-sa-adsdatahub.iam.gserviceaccount.com,如果您尚未更新帳戶或不確定是否有此必要,請與廣告資料中心支援團隊聯絡。 - 與廣告資料中心支援團隊聯絡,進行有關 VPC Service Controls 的帳戶設定。
啟用 VPC Service Controls
如果您尚未設定 VPC Service Controls,請參閱 VPC Service Controls 快速入門導覽課程,並依導覽指示完成 VPC Service Controls 的初始設定。完成快速入門導覽課程後,請按照以下說明操作。
廣告資料中心專屬設定
- 前往 VPC Service Controls 控制台,然後選取現有的服務範圍。
- 新增您想在該範圍內保護的專案:您必須納入管理員專案,以及在廣告資料中心用於輸入或輸出資料的所有專案。
- 將廣告資料中心和 BigQuery 新增為範圍內的受限服務。
- VPC Service Controls 建議限制範圍內的所有服務。
限制
使用部分廣告資料中心功能 (例如自訂目標對象啟用、自訂出價、比對使用者提供的資料和 LiveRamp 對照表) 時,必須將特定使用者資料匯出至 VPC Service Controls 範圍外。假如廣告資料中心現在列為受限制的服務,則會略過這些功能的 VPC Service Controls 政策,進而保留功能。
所有相依服務都必須同屬一個 VPC Service Controls 範圍,並列為允許的服務。舉例來說,廣告資料中心需要使用 BigQuery,因此您也必須新增 BigQuery。一般而言,使用 VPC Service Controls 時,建議將所有服務納入範圍,也就是「限制所有服務」。
如果客戶的廣告資料中心帳戶屬於雙層結構 (例如擁有子公司的代理商),應將所有管理員專案納入同一個範圍。為簡化作業,廣告資料中心建議採用兩層式帳戶結構的客戶,將管理員專案都歸入同一個 Google Cloud 機構。