VPC Service Controls für Dataform konfigurieren

VPC Service Controls ist ein Google Cloud-Feature können Sie einen Perimeter einrichten, der vor Daten-Exfiltration schützt. In diesem Leitfaden wird gezeigt, wie VPC Service Controls mit Dataform verwendet werden, um um Ihre Dienste sicherer zu machen.

VPC Service Controls bietet eine zusätzliche Schutzschicht Google Cloud-Dienste, die unabhängig vom Schutz durch Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Beschränkungen

Dataform unterstützt VPC Service Controls mit den folgenden Einschränkungen:

Sicherheitsaspekte

Wenn Sie einen VPC Service Controls-Perimeter für Dataform einrichten, sollten Sie die Ihrem Dataform-Dienst gewährten Berechtigungen Konten und stellen Sie sicher, dass sie Ihrer Sicherheitsarchitektur entsprechen.

Je nach den Berechtigungen, die Sie einem Dataform-Dienstkonto gewähren, hat dieses Dienstkonto vielleicht Zugriff auf BigQuery oder Secret Manager-Daten in dem Projekt, zu dem das Dienstkonto gehört, unabhängig von VPC Service Controls. In einem solchen Fall Dataform mit einem VPC Service Controls-Perimeter einschränken blockiert nicht die Kommunikation mit BigQuery oder Secret Manager.

Sie sollten die Kommunikation mit BigQuery blockieren, wenn Sie alle Workflowaufrufe aus Ihren Dataform-Repositories ausführen. Weitere Informationen zum Blockieren der Kommunikation BigQuery: Siehe Kommunikation mit BigQuery blockieren

Sie sollten die Kommunikation mit Secret Manager blockieren, wenn keiner Ihrer Dataform-Repositories stellen eine Verbindung zu einem Git-Repository eines Drittanbieters her. Weitere Informationen zum Blockieren der Kommunikation mit Secret Manager Siehe Kommunikation mit Secret Manager blockieren

Hinweise

Bevor Sie einen VPC Service Controls-Dienstperimeter konfigurieren für Dataform, folgen Sie der Leitfaden Remote-Repositories einschränken um die Organisationsrichtlinie dataform.restrictGitRemotes festzulegen.

Die Organisationsrichtlinie „dataform.restrictGitRemotes“ ist erforderlich, um sicherzustellen, dass VPC Service Controls-Prüfungen erzwungen werden, und den Zugriff von Drittanbietern auf Dataform Git Repositories eingeschränkt sind.

Erforderliche Rollen

So erhalten Sie die Berechtigungen, die Sie zum Konfigurieren eines VPC Service Controls-Dienstperimeters benötigen: bitten Sie Ihren Administrator, Ihnen IAM-Rolle Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) für das Projekt Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu VPC Service Controls-Berechtigungen finden Sie unter Zugriffssteuerung mit IAM

VPC Service Controls konfigurieren

Sie können Dataform mit einem VPC Service Controls-Dienstperimeter einschränken auf folgende Arten:

  • Dataform einem vorhandenen Dienstperimeter hinzufügen, der Einschränkungen BigQuery
  • Erstellen Sie einen Dienstperimeter, der sowohl Dataform und BigQuery.

So fügen Sie Dataform einem Dienstperimeter hinzu, der Einschränkungen folgen Sie der Dienstperimeter aktualisieren in der Dokumentation zu VPC Service Controls.

Um einen neuen Dienstperimeter zu erstellen, Dataform und BigQuery: Dienstperimeter erstellen in der Dokumentation zu VPC Service Controls.

Optional: Kommunikation mit BigQuery blockieren

Die Art und Weise, wie Dataform mit BigQuery kommuniziert, hängt davon ab, Den in Dataform verwendeten Dienstkontotyp.

Das Dataform-Standarddienstkonto verwendet die bigquery.jobs.create Berechtigung zur Kommunikation mit BigQuery. Sie gewähren die Standardeinstellung Dataform-Dienstkontorollen, die Folgendes enthalten: wenn Sie die Rollen gewähren, die für die Dataform zum Ausführen von SQL-Workflows in BigQuery.

Blockieren der Kommunikation zwischen dem Dataform-Standarddienstkonto und BigQuery müssen Sie alle vordefinierten und benutzerdefinierten Rollen die die Berechtigung bigquery.jobs.create enthalten, die gewährt wurde das Dataform-Standarddienstkonto. Um Rollen zu widerrufen, folgen Sie der Zugriff auf Projekte, Ordner und Organisationen verwalten .

Benutzerdefinierte Dataform-Dienstkonten verwenden Folgendes: Berechtigungen und Rollen für die Kommunikation mit BigQuery:

  • Die Berechtigung bigquery.jobs.create für das benutzerdefinierte Dienstkonto.
  • Die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) die dem Dataform-Standarddienstkonto im benutzerdefinierten Dienstkonto gewährt wurden.

Sie können die Kommunikation zwischen einem benutzerdefinierten Dataform-Dienst blockieren Konto und BigQuery auf eine der folgenden Arten:

  • Ersteller von Dienstkonto-Tokens widerrufen (roles/iam.serviceAccountTokenCreator) Rolle, wurde dem Standarddienstkonto gewährt für das ausgewählte benutzerdefinierte Dataform-Dienstkonto. So widerrufen Sie die Ersteller von Dienstkonto-Token (roles/iam.serviceAccountTokenCreator) Rolle, folgen Sie den Zugriff auf Dienstkonten verwalten .

  • Widerrufen Sie alle vordefinierten und benutzerdefinierten Rollen, die dem folgenden auf Projektebene gewährt wurden: benutzerdefiniertes Dienstkonto, das bigquery.jobs.create enthält Berechtigung. Um Rollen zu widerrufen, folgen Sie der Zugriff auf Projekte, Ordner und Organisationen verwalten .

Die Berechtigung bigquery.jobs.create ist in Folgendem enthalten: vordefinierte BigQuery-IAM-Rollen die widerrufen werden müssen:

Optional: Kommunikation mit Secret Manager blockieren

Dataform verwendet die Berechtigung secretmanager.versions.access, um auf einzelne Secret Manager-Secrets zugreifen. Sie erteilen diese Berechtigung dem Dataform-Standarddienstkonto für ein ausgewähltes wenn Sie ein Secret Manager-Secret Dataform-Repository mit einem Drittanbieter-Repository verbinden

Um die Kommunikation zwischen Dataform und Secret Manager zu blockieren, Sie müssen den Zugriff auf alle Secrets aus dem standardmäßigen Dataform widerrufen Dienstkonto.

So widerrufen Sie den Standardzugriff auf ein Secret Manager-Secret Dataform-Dienstkonto folgen Sie der Anleitung unter Zugriff auf Secrets verwalten. in der Secret Manager-Dokumentation. Sie müssen alle widerrufen. vordefinierten und benutzerdefinierten Rollen, die die Berechtigung secretmanager.versions.access für die Standardeinstellung gewährt Dataform-Dienstkonto für das ausgewählte Secret.

Die Berechtigung secretmanager.versions.access ist in Folgendem enthalten: vordefinierte Secret Manager-IAM-Rollen:

Nächste Schritte