限制對 GCP 的訪問

我們公司最近開始使用 GCP。主要是我們使用bigquery來儲存數據。我們根據使用者帳戶（gmail）提供對 GCP 的訪問。現在，我們希望更安全地訪問所有 GCP 服務，因為只要員工擁有我們公司創建的帳戶，他們就可以在任何地方連接到 bigquery。如果 GCP 服務不在總部或分支機構，我們希望限制對它們的訪問。我們希望不使用使用者帳戶資訊，而是以更安全的方式保護儲存在 Big Query 中的數據。

以下是我想出的解決方案。

• 僅允許通過公司的 VPN 訪問 GCP 中的公司項目（= 僅允許使用 VPC 服務控制的某些 IP 地址（VPN IP 地址）？）
• 僅允許公司的 IP 地址是動態 IP 地址（但可以預期）

因為我對 GCP 很陌生。我不確定這些建議是否真的有效。或者，想知道實現這一目標的其他最具成本效益的選擇。如果可能的話，我還想知道是否有辦法為每個使用者下載憑據文件並僅在使用使用者帳戶和下載的憑據文件時才能訪問 GCP（此憑據文件將僅在公司的設備中下載）

我在 Stackoverflow 上發布了 @Felipe Hoffa 提供的答案，以使其更加明顯。隨意更改或增強它。

您可以在 VPC 後面使用 BigQuery：

• https://cloud.google.com/vpc-service-controls
• https://cloud.google.com/vpc-service-controls/docs/overview

預設情況下，拒絕從 Internet 訪問服務邊界內的託管資源。或者，您可以根據請求的上下文啟用訪問。為此，您可以創建基於許多屬性（例如源 IP 地址）控制訪問的訪問級別。如果來自 Internet 的請求不符合訪問級別中定義的標準，則它們將被拒絕。

引用自：https://serverfault.com/questions/1068606