Esta página foi traduzida pela API Cloud Translation.

Configure os VPC Service Controls

Esta página oferece uma vista geral dos VPC Service Controls, uma Google Cloud funcionalidade que se integra com o AlloyDB para proteger dados e recursos.

O VPC Service Controls ajuda a mitigar o risco de exfiltração de dados de instâncias do AlloyDB. Pode usar os VPC Service Controls para criar perímetros de serviço que protegem os recursos e os dados dos serviços que especificar explicitamente.

Para uma vista geral do VPC Service Controls, das respetivas vantagens de segurança e das respetivas capacidades nos produtos, consulte o artigo Vista geral do VPC Service Controls. Google Cloud

Antes de começar

Na Google Cloud consola, aceda à página do seletor de projetos.

Aceder ao seletor de projetos
Selecione ou crie um Google Cloud projeto.
Nota: se não planeia manter os recursos que criar neste procedimento, crie um projeto em vez de selecionar um projeto existente. Depois de concluir estes passos, pode eliminar o projeto, removendo todos os recursos associados ao projeto.
Certifique-se de que a faturação está ativada para o seu Google Cloud projeto. Saiba como verificar se a faturação está ativada num projeto.
Ative a API Compute Engine.
Ative a API Compute Engine
Ative a API Service Networking.
Ative a API Service Networking
Adicione as funções de gestão de identidade e de acesso (IAM) ao utilizador ou à conta de serviço que está a usar para configurar e administrar os VPC Service Controls. Para mais informações, consulte o artigo Funções do IAM para administrar os VPC Service Controls.
Reveja as limitações quando usar os VPC Service Controls com o AlloyDB.

Como proteger o serviço AlloyDB com os VPC Service Controls

Antes de começar, reveja a vista geral dos VPC Service Controls e as limitações do AlloyDB quando usa os VPC Service Controls.

A configuração dos VPC Service Controls para um projeto do AlloyDB inclui os seguintes passos:

Crie e faça a gestão de um perímetro de serviço.

Primeiro, selecione o projeto do AlloyDB que quer que o perímetro de serviço da VPC proteja e, em seguida, crie e faça a gestão do perímetro de serviço.
Crie e faça a gestão de níveis de acesso.

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, pode usar níveis de acesso. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos provenientes de fora do perímetro de serviço. Não pode usar níveis de acesso para conceder aos recursos protegidos ou às VMs autorização para aceder a dados e serviços fora do perímetro.

Crie e faça a gestão de um perímetro de serviço

Para criar e gerir um perímetro de serviço, conclua os seguintes passos:

Selecione o projeto do AlloyDB que quer que o perímetro de serviço da VPC proteja.
Crie um perímetro de serviço seguindo as instruções em Criar um perímetro de serviço.
Adicione mais instâncias ao perímetro de serviço. Para adicionar instâncias do AlloyDB existentes ao perímetro, siga as instruções em Atualizar um perímetro de serviço.
Adicione APIs ao perímetro de serviço. Para mitigar o risco de exfiltração dos seus dados do AlloyDB, tem de restringir a API AlloyDB, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS. Para mais informações, consulte o artigo Atualização dos perímetros do Access Context Manager.

Para adicionar APIs como serviços restritos:
Consola
1. Na Google Cloud consola, aceda à página VPC Service Controls.
  Aceda aos VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que quer modificar.
3. Clique em Edit.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione a API AlloyDB, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS.
6. Clique em Guardar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.
Se ativou as estatísticas de consultas melhoradas, adicione a API databaseinsights.googleapis.com ao perímetro de serviço como um serviço restrito:
Consola
1. Na Google Cloud consola, aceda à página VPC Service Controls.
  Aceda aos VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que quer modificar.
3. Clique em Edit.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione databaseinsights.googleapis.com.
6. Clique em Guardar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.

Crie e faça a gestão de níveis de acesso

Para criar e gerir níveis de acesso, siga as instruções em Permitir o acesso a recursos protegidos a partir do exterior de um perímetro.