Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Questa pagina fornisce una panoramica dei Controlli di servizio VPC, una funzionalità di Google Cloud che si integra con AlloyDB per proteggere dati e risorse.

I Controlli di servizio VPC contribuiscono a ridurre il rischio di esfiltrazione di dati dalle istanze AlloyDB. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse e i dati dei servizi specificati esplicitamente.

Per una panoramica generale di Controlli di servizio VPC, dei relativi vantaggi in termini di sicurezza e delle sue funzionalità nei prodotti Google Cloud , consulta Panoramica di Controlli di servizio VPC.

Prima di iniziare

Nella console Google Cloud, vai alla pagina Selettore di progetti.

Vai al selettore dei progetti
Seleziona o crea un progetto Google Cloud .
Nota: se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.
Assicurati che la fatturazione sia abilitata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata in un progetto.
Abilita l'API Compute Engine.
Abilita l'API Compute Engine
Abilita l'API Service Networking.
Abilita l'API Service Networking
Aggiungi i ruoli di Identity and Access Management (IAM) all'account utente o di servizio che utilizzi per configurare e amministrare i Controlli di servizio VPC. Per maggiori informazioni, consulta Ruoli IAM per amministrare i Controlli di servizio VPC.
Esamina le limitazioni quando utilizzi i Controlli di servizio VPC con AlloyDB.

Come proteggere il servizio AlloyDB utilizzando i Controlli di servizio VPC

Prima di iniziare, consulta la Panoramica dei Controlli di servizio VPC e le limitazioni di AlloyDB quando utilizzi i Controlli di servizio VPC.

La configurazione dei Controlli di servizio VPC per un progetto AlloyDB include i seguenti passaggi:

Crea e gestisci un perimetro di servizio.

Innanzitutto, seleziona il progetto AlloyDB che vuoi proteggere con il perimetro di servizio VPC, quindi crea e gestisci il perimetro di servizio.
Crea e gestisci i livelli di accesso.

Se vuoi, puoi utilizzare i livelli di accesso per consentire l'accesso esterno alle risorse protette all'interno di un perimetro. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere a risorse o VM protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.

Creare e gestire un perimetro di servizio

Per creare e gestire un perimetro di servizio, completa i seguenti passaggi:

Seleziona il progetto AlloyDB che deve essere protetto dal perimetro di servizio VPC.
Crea un perimetro di servizio seguendo le istruzioni riportate in Creazione di un perimetro di servizio.
Aggiungi altre istanze al perimetro di servizio. Per aggiungere le istanze AlloyDB esistenti al perimetro, segui le istruzioni riportate in Aggiornare un perimetro di servizio.
Aggiungi le API al perimetro di servizio. Per ridurre il rischio di esfiltrazione dei dati da AlloyDB, devi limitare l'API AlloyDB, l'API Compute Engine, l'API Cloud Storage, l'API Container Registry, l'API Certificate Authority Service e l'API Cloud KMS. Per ulteriori informazioni, vedi Aggiornamento dei perimetri di access-context-manager.

Per aggiungere le API come servizi con limitazioni:
Console
1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.
  Vai a Controlli di servizio VPC
2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio da modificare.
3. Fai clic su Modifica.
4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
5. Aggiungi l'API AlloyDB, l'API Compute Engine, l'API Cloud Storage, l'API Container Registry, l'API Certificate Authority Service e l'API Cloud KMS.
6. Fai clic su Salva.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetro.
- POLICY_ID: l'ID del criterio di accesso.
Se hai abilitato gli approfondimenti sulle query avanzate, aggiungi l'API databaseinsights.googleapis.com al perimetro di servizio come servizio con limitazioni:
Console
1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.
  Vai a Controlli di servizio VPC
2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio da modificare.
3. Fai clic su Modifica.
4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
5. Aggiungi databaseinsights.googleapis.com.
6. Fai clic su Salva.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetro.
- POLICY_ID: l'ID del criterio di accesso.

Creare e gestire i livelli di accesso

Per creare e gestire i livelli di accesso, segui le istruzioni riportate in Consentire l'accesso a risorse protette dall'esterno di un perimetro.