Configurar los Controles del servicio de VPC

En esta página, se proporciona una descripción general de los Controles del servicio de VPC, una Google Cloud función que se integra en AlloyDB para proteger los datos y los recursos.

Los Controles del servicio de VPC ayudan a mitigar el riesgo de robo de datos de las instancias de AlloyDB. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que protejan los recursos y datos de los servicios que especifiques de forma explícita.

Para obtener una descripción general de los Controles del servicio de VPC, sus beneficios de seguridad y sus capacidades en todos los Google Cloud productos, consulta la descripción general de los Controles del servicio de VPC.

Antes de comenzar

  1. En la consola de Google Cloud, ve a la página Selector de proyectos.

    Ir al selector de proyectos

  2. Selecciona o crea un Google Cloud proyecto.
  3. Asegúrate de tener habilitada la facturación para tu Google Cloud proyecto. Obtén información para verificar si la facturación está habilitada en un proyecto.
  4. Habilita la API de Compute Engine.

    Habilitar la API de Compute Engine

  5. Habilita la API de Service Networking.

    Habilita la API de Service Networking

  6. Agrega los roles de Identity and Access Management (IAM) a la cuenta de usuario o servicio que usas para configurar y administrar los Controles del servicio de VPC. Para obtener más información, consulta Funciones de IAM para administrar los Controles del servicio de VPC.
  7. Revisa las limitaciones cuando uses los Controles del servicio de VPC con AlloyDB.

Cómo proteger el servicio de AlloyDB con los Controles del servicio de VPC

Antes de comenzar, revisa la Descripción general de los Controles del servicio de VPC y las limitaciones de AlloyDB cuando se usan los Controles del servicio de VPC.

La configuración de los Controles del servicio de VPC para un proyecto de AlloyDB incluye los siguientes pasos:

  1. Crea y administra un perímetro de servicio.

    Primero, selecciona el proyecto de AlloyDB que deseas que proteja el perímetro de servicio de VPC y, luego, crea y administra el perímetro de servicio.

  2. Crea y administra niveles de acceso.

    De forma opcional, para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso para otorgar permisos a los recursos protegidos o a las VMs para acceder a los datos y servicios fuera del perímetro.

Crea y administra un perímetro de servicio

Para crear y administrar un perímetro de servicio, completa los siguientes pasos:

  1. Selecciona el proyecto de AlloyDB que deseas que proteja el perímetro de servicio de VPC.

  2. Para crear un perímetro de servicio, sigue las instrucciones que se encuentran en Crea un perímetro de servicio.

  3. Agrega más instancias al perímetro de servicio. Para agregar instancias existentes de AlloyDB al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.

  4. Agrega APIs al perímetro de servicio. Para mitigar el riesgo de robo de datos de AlloyDB, debes restringir la API de AlloyDB, la API de Compute Engine, la API de Cloud Storage, la API de Container Registry, la API de Certificate Authority Service y la API de Cloud KMS. Para obtener más información, consulta actualización de perímetros de access-context-manager.

    Para agregar APIs como servicios restringidos, sigue estos pasos:

    1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

      Ir a los Controles del servicio de VPC

    2. En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
    3. Haz clic en Editar.
    4. En la página Editar perímetro de servicio de VPC, haz clic en Agregar servicios.
    5. Se agregaron la API de AlloyDB, la API de Compute Engine, la API de Cloud Storage, la API de Container Registry, la API de Certificate Authority Service y la API de Cloud KMS.
    6. Haz clic en Guardar.
    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
      containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
    
    • PERIMETER_ID: El ID del perímetro o el identificador completamente calificado del perímetro.
    • POLICY_ID: ID de la política de acceso.
  5. Si habilitaste las estadísticas de consultas mejoradas, agrega la API de databaseinsights.googleapis.com al perímetro de servicio como un servicio restringido:

    1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

      Ir a los Controles del servicio de VPC

    2. En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
    3. Haz clic en Editar.
    4. En la página Editar perímetro de servicio de VPC, haz clic en Agregar servicios.
    5. Agrega databaseinsights.googleapis.com.
    6. Haz clic en Guardar.
    gcloud access-context-manager perimeters update PERIMETER_ID \
    --policy=POLICY_ID \
    --add-restricted-services=databaseinsights.googleapis.com
    
    • PERIMETER_ID: El ID del perímetro o el identificador completamente calificado del perímetro.
    • POLICY_ID: ID de la política de acceso.

Crea y administra niveles de acceso

Para crear y administrar los niveles de acceso, sigue las instrucciones en Permite el acceso a recursos protegidos desde fuera del perímetro.