您可以透過 VPC Service Controls 定義 Google Cloud 資源的服務範圍,藉此強化資料安全性。這個服務範圍會限制資料在範圍邊界內的移動,以降低資料竊取風險。
必要條件
本文假設您先前已經:
- 在廣告資料中心帳戶中指定管理員專案。
- 將服務帳戶更新為包含
gcp-sa-adsdatahub.iam.gserviceaccount.com的電子郵件地址。如果您沒有這樣做,或是不確定是否有這個必要,請與廣告資料中心支援團隊聯絡。 - 與廣告資料中心支援團隊聯絡,針對 VPC Service Controls 設定帳戶。
啟用 VPC Service Controls
如果您尚未設定 VPC Service Controls,請參閱 VPC Service Controls 快速入門導覽課程。快速入門導覽課程將引導您完成 VPC Service Controls 的初始設定。完成快速入門導覽課程後,請按照以下說明操作。
廣告資料中心專屬設定
- 前往 VPC Service Controls 控制台,然後選取現有的服務範圍。
- 新增您想在該範圍內保護的專案:您必須納入管理員專案,以及在廣告資料中心用於輸入或輸出資料的所有專案。
- 將廣告資料中心和 BigQuery 新增為範圍內的受限服務。
- VPC Service Controls 建議限制範圍內的所有服務。
限制
使用部分廣告資料中心功能 (例如自訂目標對象啟用、自訂出價和 LiveRamp 對照表) 時,必須將特定使用者資料匯出至 VPC Service Controls 範圍外。如果廣告資料中心已新增為受限制的服務,就會略過這些功能的 VPC Service Controls 政策,以利繼續運作。
所有相依服務都必須納入同一個 VPC Service Controls 範圍中,做為允許使用的服務。舉例來說,廣告資料中心需要使用 BigQuery,因此您也必須新增 BigQuery。一般而言,使用 VPC Service Controls 時,建議將所有服務納入範圍,也就是「限制所有服務」。
如果客戶的廣告資料中心帳戶屬於雙層結構 (例如擁有子公司的代理商),應將所有管理員專案納入同一個範圍。為了簡單起見,廣告資料中心建議帳戶屬於雙層結構的客戶,將管理員專案只歸入同一個 Google Cloud 機構。