Configurar o VPC Service Controls para o Dataform

O VPC Service Controls é um recurso do Google Cloud que permite configurar um perímetro que ajuda a proteger contra a exfiltração de dados. Neste guia, mostramos como usar o VPC Service Controls com o Dataform para ajudar a tornar seus serviços mais seguros.

O VPC Service Controls adiciona uma camada extra de defesa para os serviços do Google Cloud, independente da proteção fornecida pelo Identity and Access Management (IAM).

Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Limitações

O Dataform é compatível com o VPC Service Controls, com as seguintes limitações:

Considerações sobre segurança

Ao configurar um perímetro do VPC Service Controls para o Dataform, analise as permissões concedidas às contas de serviço do Dataform e verifique se elas correspondem à sua arquitetura de segurança.

Dependendo das permissões concedidas a uma conta de serviço do Dataform, essa conta de serviço pode ter acesso aos dados do BigQuery ou do Secret Manager no projeto a que essa conta pertence, independentemente do VPC Service Controls. Nesse caso, restringir o Dataform com um perímetro do VPC Service Controls não bloqueia a comunicação com o BigQuery ou o Secret Manager.

Bloqueie a comunicação com o BigQuery se não precisar executar nenhuma invocação de fluxo de trabalho originada dos repositórios do Dataform. Para mais informações sobre como bloquear a comunicação com o BigQuery, consulte Bloquear comunicação com o BigQuery.

Bloqueie a comunicação com o Secret Manager se nenhum dos repositórios do Dataform se conectar a um repositório Git de terceiros. Para mais informações sobre como bloquear a comunicação com o Secret Manager, consulte Bloquear comunicação com o Secret Manager.

Antes de começar

Antes de configurar um perímetro de serviço do VPC Service Controls para o Dataform, siga o guia Restringir repositórios remotos para definir a política da organização dataform.restrictGitRemotes.

A política da organização dataform.restrictGitRemotes é necessária para garantir que as verificações do VPC Service Controls sejam aplicadas ao usar o Dataform e que o acesso de terceiros aos repositórios Git do Dataform seja restrito.

Funções exigidas

Para receber as permissões necessárias para configurar um perímetro de serviço do VPC Service Controls, peça ao administrador para conceder a você o papel de IAM Editor do Access Context Manager (roles/accesscontextmanager.policyEditor) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Para mais informações sobre as permissões do VPC Service Controls, consulte Controle de acesso com o IAM.

Configurar o VPC Service Controls

É possível restringir o Dataform com um perímetro de serviço do VPC Service Controls das seguintes maneiras:

  • Adicione o Dataform a um perímetro de serviço atual que restrinja o BigQuery.
  • Criar um perímetro de serviço que restrinja o Dataform e o BigQuery.

Para adicionar o Dataform a um perímetro de serviço que restringe o BigQuery, siga o guia Atualizar um perímetro de serviço na documentação do VPC Service Controls.

Para criar um novo perímetro de serviço que restrinja o Dataform e o BigQuery, siga o guia Criar um perímetro de serviço na documentação do VPC Service Controls.

Opcional: bloquear a comunicação com o BigQuery

A maneira como o Dataform se comunica com o BigQuery depende do tipo de conta de serviço usada no Dataform.

A conta de serviço padrão do Dataform usa a permissão bigquery.jobs.create para se comunicar com o BigQuery. Você concede os papéis padrão da conta de serviço do Dataform que contêm essa permissão ao conceder os papéis necessários para que o Dataform execute fluxos de trabalho SQL no BigQuery.

Para bloquear a comunicação entre a conta de serviço padrão do Dataform e o BigQuery, é necessário revogar todos os papéis predefinidos e personalizados que contêm a permissão bigquery.jobs.create, que foi concedida à conta de serviço padrão do Dataform. Para revogar papéis, siga o guia Gerenciar acesso a projetos, pastas e organizações.

As contas de serviço personalizadas do Dataform usam as seguintes permissões e papéis para se comunicar com o BigQuery:

  • A permissão bigquery.jobs.create, concedida à conta de serviço personalizada.
  • O papel Criador de token da conta de serviço (roles/iam.serviceAccountTokenCreator), concedido à conta de serviço padrão do Dataform na conta de serviço personalizada.

É possível bloquear a comunicação entre uma conta de serviço personalizada do Dataform e o BigQuery de uma das seguintes maneiras:

  • Revogue o papel Criador de token da conta de serviço (roles/iam.serviceAccountTokenCreator), concedido à conta de serviço padrão na conta de serviço personalizada do Dataform selecionada. Para revogar o papel Criador de token da conta de serviço (roles/iam.serviceAccountTokenCreator), siga o guia Gerenciar acesso a contas de serviço.

  • Revogue todos os papéis predefinidos e personalizados concedidos no nível do projeto à conta de serviço personalizada que contém a permissão bigquery.jobs.create. Para revogar papéis, siga o guia Gerenciar acesso a projetos, pastas e organizações.

A permissão bigquery.jobs.create está incluída nos seguintes papéis do IAM do BigQuery que precisam ser revogados:

Opcional: bloquear a comunicação com o Secret Manager

O Dataform usa a permissão secretmanager.versions.access para acessar secrets individuais do Secret Manager. Você concede essa permissão à conta de serviço padrão do Dataform em um secret selecionado do Secret Manager ao conectar um repositório do Dataform a um repositório de terceiros.

Para bloquear a comunicação entre o Dataform e o Secret Manager, revogue o acesso a todos os secrets da conta de serviço padrão do Dataform.

Para revogar o acesso a um secret do Secret Manager da conta de serviço padrão do Dataform, siga o guia Gerenciar acesso aos secrets na documentação do Secret Manager. É preciso revogar todos os papéis predefinidos e personalizados que contêm a permissão secretmanager.versions.access, concedida à conta de serviço padrão do Dataform no secret selecionado.

A permissão secretmanager.versions.access está incluída nos seguintes papéis predefinidos do IAM do Secret Manager:

A seguir