VPC Service Controls 是一項 Google Cloud 功能 ,可讓您設定 perimeter,防範資料竊取。本指南說明如何搭配 Dataform 使用 VPC Service Controls,進一步保護服務安全。
VPC Service Controls 可為Google Cloud 服務提供額外一層防護,與 Identity and Access Management (IAM) 提供的防護機制互不相干。
如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
限制
Dataform 支援 VPC Service Controls,但有下列限制:
Dataform 和 BigQuery 必須受限於相同的 VPC Service Controls 服務範圍。
如要允許特定使用者在排定執行時間、手動觸發執行或執行管道時,使用 Google 帳戶使用者憑證進行驗證,您必須將他們的使用者身分新增至輸入規則。詳情請參閱「更新服務周邊的輸入和輸出政策」和「輸入規則參考資料」。
安全性考量
為 Dataform 設定 VPC Service Controls 範圍時,請檢查授予 Dataform 服務帳戶的權限,確保這些權限符合您的安全架構。
視您授予 Dataform 服務帳戶的權限而定,該服務帳戶可能可以存取所屬專案中的 BigQuery 或 Secret Manager 資料,不受 VPC Service Controls 限制。在這種情況下,使用 VPC Service Controls 邊界限制 Dataform,不會阻斷與 BigQuery 或 Secret Manager 的通訊。
如果您不需要執行任何源自 Dataform 存放區的工作流程叫用,就應封鎖與 BigQuery 的通訊。如要進一步瞭解如何封鎖與 BigQuery 的通訊,請參閱「封鎖與 BigQuery 的通訊」。
如果您的 Dataform 存放區都未連線至第三方 Git 存放區,請封鎖與 Secret Manager 的通訊。如要進一步瞭解如何封鎖與 Secret Manager 的通訊,請參閱「封鎖與 Secret Manager 的通訊」。
事前準備
為 Dataform 設定 VPC Service Controls 服務範圍前,請按照「限制遠端存放區」指南設定 dataform.restrictGitRemotes 機構政策。
您必須設定 dataform.restrictGitRemotes 機構政策,確保使用 Dataform 時強制執行 VPC Service Controls 檢查,並限制第三方存取 Dataform Git 存放區。
必要的角色
如要取得設定 VPC Service Controls 服務範圍所需的權限,請要求管理員授予您專案的存取權內容管理員編輯者 (roles/accesscontextmanager.policyEditor) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
如要進一步瞭解 VPC Service Controls 權限,請參閱「使用身分與存取權管理功能控管存取權」一文。
設定 VPC Service Controls
您可以透過下列方式,使用 VPC Service Controls 服務範圍限制 Dataform:
- 將 Dataform 新增至現有服務範圍,限制 BigQuery。
- 建立服務安全防護範圍,同時限制 Dataform 和 BigQuery。
如要將 Dataform 新增至限制 BigQuery 的服務範圍,請按照 VPC Service Controls 說明文件中的「更新服務範圍」指南操作。
如要建立新的服務範圍,同時限制 Dataform 和 BigQuery,請按照 VPC Service Controls 說明文件中的「建立服務範圍」指南操作。
選用步驟:封鎖與 BigQuery 的通訊
Dataform 與 BigQuery 的通訊方式取決於 Dataform 中使用的服務帳戶類型。
預設 Dataform 服務帳戶會使用 bigquery.jobs.create 權限與 BigQuery 通訊。當您授予 Dataform 在 BigQuery 中執行工作流程所需的角色時,也會將包含這項權限的預設 Dataform 服務帳戶角色授予服務帳戶。
如要封鎖預設 Dataform 服務帳戶與 BigQuery 之間的通訊,您必須撤銷所有包含 bigquery.jobs.create 權限的預先定義和自訂角色,這些角色已授予預設 Dataform 服務帳戶。如要撤銷角色,請按照「管理專案、資料夾和機構的存取權」一文的說明操作。
自訂 Dataform 服務帳戶會使用下列權限和角色與 BigQuery 通訊:
- 授予自訂服務帳戶的
bigquery.jobs.create權限。 - 授予自訂服務帳戶的預設 Dataform 服務帳戶「服務帳戶憑證建立者」角色 (
roles/iam.serviceAccountTokenCreator)。
您可以透過下列任一方式,封鎖自訂 Dataform 服務帳戶與 BigQuery 之間的通訊:
撤銷指派給所選自訂 Dataform 服務帳戶預設服務帳戶的「服務帳戶憑證建立者」角色 (
roles/iam.serviceAccountTokenCreator)。如要撤銷「服務帳戶憑證建立者」(roles/iam.serviceAccountTokenCreator) 角色,請按照「管理服務帳戶的存取權」指南操作。撤銷授予自訂服務帳戶的所有專案層級預先定義和自訂角色,這些角色包含
bigquery.jobs.create權限。如要撤銷角色,請按照「管理專案、資料夾和機構的存取權」一文的說明操作。
下列預先定義的 BigQuery IAM 角色具備 bigquery.jobs.create 權限,因此必須撤銷:
- BigQuery 管理員 (
roles/bigquery.admin) - BigQuery 作業使用者 (
roles/bigquery.jobUser) - BigQuery 使用者 (
roles/bigquery.user) - BigQuery Studio 管理員 (
roles/bigquery.studioAdmin) - BigQuery Studio 使用者 (
roles/bigquery.studioUser)
選用:封鎖與 Secret Manager 的通訊
Dataform 會使用 secretmanager.versions.access 權限存取個別的 Secret Manager 密鑰。將 Dataform 存放區連結至第三方存放區時,您會對所選 Secret Manager 密鑰的預設 Dataform 服務帳戶授予這項權限。
如要禁止 Dataform 與 Secret Manager 之間的通訊,請撤銷預設 Dataform 服務帳戶的所有密鑰存取權。
如要撤銷預設 Dataform 服務帳戶對 Secret Manager 密鑰的存取權,請參閱 Secret Manager 說明文件中的「管理密鑰存取權」指南。您必須撤銷授予所選密鑰上預設 Dataform 服務帳戶的所有預先定義和自訂角色,這些角色包含 secretmanager.versions.access 權限。
下列預先定義的 Secret Manager IAM 角色具備 secretmanager.versions.access 權限:
- Secret Manager 管理員 (
roles/secretmanager.admin) - Secret Manager 密鑰存取者 (
roles/secretmanager.secretAccessor) - Secret Manager Secret Version Manager (
roles/secretmanager.secretVersionManager)
後續步驟
- 如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
- 如要進一步瞭解機構政策,請參閱機構政策服務簡介。
- 如要進一步瞭解 Dataform 中的服務帳戶,請參閱「關於 Dataform 中的服務帳戶」。