VPC Service Controls vous aide à limiter les risques de copie ou de transfert non autorisé de données à partir de services gérés par Google.
Cette solution vous permet de configurer des périmètres de sécurité autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites de ces périmètres.
Utiliser Artifact Registry avec VPC Service Controls
Si vous utilisez Artifact Registry et des clusters privés Google Kubernetes Engine dans un projet au sein d'un périmètre de service, vous pouvez accéder aux images de conteneurs dans le périmètre de service, ainsi qu'aux images fournies par Google.
Les images Docker Hub mises en cache stockées sur mirror.gcr.io ne sont pas incluses dans le périmètre de service, sauf si une règle de sortie est ajoutée pour autoriser la sortie vers le cache Docker d'Artifact Registry qui héberge mirror.gcr.io.
Pour utiliser mirror.gcr.io dans un périmètre de service, ajoutez la règle de sortie suivante:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Pour plus d'informations sur les règles d'entrée et de sortie, consultez la section Règles d'entrée et de sortie.
Vous pouvez accéder à Artifact Registry à l'aide des adresses IP des API Google par défaut et des domaines de service, ou en utilisant les adresses IP spéciales suivantes :
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Pour en savoir plus sur ces options, consultez la page Configurer l'accès privé à Google. Pour obtenir un exemple de configuration utilisant 199.36.153.4/30 (restricted.googleapis.com), consultez la documentation sur l'accès au registre à l'aide d'une adresse IP virtuelle.
Assurez-vous que les services Google Cloud qui doivent accéder à Artifact Registry se trouvent également dans le périmètre de service, y compris l'autorisation binaire, Artifact Analysis et les environnements d'exécution tels que Google Kubernetes Engine et Cloud Run. Pour en savoir plus sur chaque service, consultez la liste des services compatibles.
Pour obtenir des instructions générales concernant l'ajout d'Artifact Registry à un périmètre de service, consultez la page Créer un périmètre de service.
Utiliser Artifact Analysis avec VPC Service Controls
Pour savoir comment ajouter Artifact Analysis à votre périmètre, consultez la section Sécuriser Artifact Analysis dans un périmètre de service.