VPC Service Controls ist ein Google Cloud-Feature können Sie einen Perimeter einrichten, der vor Daten-Exfiltration schützt. In diesem Leitfaden wird gezeigt, wie VPC Service Controls mit Dataform verwendet werden, um um Ihre Dienste sicherer zu machen.
VPC Service Controls bietet eine zusätzliche Schutzschicht Google Cloud-Dienste, die unabhängig vom Schutz durch Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
Beschränkungen
Dataform unterstützt VPC Service Controls mit den folgenden Einschränkungen:
Sie müssen die
dataform.restrictGitRemotes-Organisationsrichtlinie.Dataform und BigQuery müssen durch VPC Service Controls-Dienstperimeter.
Sicherheitsaspekte
Wenn Sie einen VPC Service Controls-Perimeter für Dataform einrichten, sollten Sie die Ihrem Dataform-Dienst gewährten Berechtigungen Konten und stellen Sie sicher, dass sie Ihrer Sicherheitsarchitektur entsprechen.
Je nach den Berechtigungen, die Sie einem Dataform-Dienstkonto gewähren, hat dieses Dienstkonto vielleicht Zugriff auf BigQuery oder Secret Manager-Daten in dem Projekt, zu dem das Dienstkonto gehört, unabhängig von VPC Service Controls. In einem solchen Fall Dataform mit einem VPC Service Controls-Perimeter einschränken blockiert nicht die Kommunikation mit BigQuery oder Secret Manager.
Sie sollten die Kommunikation mit BigQuery blockieren, wenn Sie alle Workflowaufrufe aus Ihren Dataform-Repositories ausführen. Weitere Informationen zum Blockieren der Kommunikation BigQuery: Siehe Kommunikation mit BigQuery blockieren
Sie sollten die Kommunikation mit Secret Manager blockieren, wenn keiner Ihrer Dataform-Repositories stellen eine Verbindung zu einem Git-Repository eines Drittanbieters her. Weitere Informationen zum Blockieren der Kommunikation mit Secret Manager Siehe Kommunikation mit Secret Manager blockieren
Hinweise
Bevor Sie einen VPC Service Controls-Dienstperimeter konfigurieren für
Dataform, folgen Sie der
Leitfaden Remote-Repositories einschränken
um die Organisationsrichtlinie dataform.restrictGitRemotes festzulegen.
Die Organisationsrichtlinie „dataform.restrictGitRemotes“ ist erforderlich, um sicherzustellen,
dass VPC Service Controls-Prüfungen erzwungen werden,
und den Zugriff von Drittanbietern auf Dataform Git
Repositories eingeschränkt sind.
Erforderliche Rollen
So erhalten Sie die Berechtigungen, die Sie zum Konfigurieren eines VPC Service Controls-Dienstperimeters benötigen:
bitten Sie Ihren Administrator, Ihnen
IAM-Rolle Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) für das Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Weitere Informationen zu VPC Service Controls-Berechtigungen finden Sie unter Zugriffssteuerung mit IAM
VPC Service Controls konfigurieren
Sie können Dataform mit einem VPC Service Controls-Dienstperimeter einschränken auf folgende Arten:
- Dataform einem vorhandenen Dienstperimeter hinzufügen, der Einschränkungen BigQuery
- Erstellen Sie einen Dienstperimeter, der sowohl Dataform und BigQuery.
So fügen Sie Dataform einem Dienstperimeter hinzu, der Einschränkungen folgen Sie der Dienstperimeter aktualisieren in der Dokumentation zu VPC Service Controls.
Um einen neuen Dienstperimeter zu erstellen, Dataform und BigQuery: Dienstperimeter erstellen in der Dokumentation zu VPC Service Controls.
Optional: Kommunikation mit BigQuery blockieren
Die Art und Weise, wie Dataform mit BigQuery kommuniziert, hängt davon ab, Den in Dataform verwendeten Dienstkontotyp.
Das Dataform-Standarddienstkonto verwendet die bigquery.jobs.create
Berechtigung zur Kommunikation
mit BigQuery. Sie gewähren die Standardeinstellung
Dataform-Dienstkontorollen, die Folgendes enthalten:
wenn Sie die Rollen gewähren, die für die
Dataform zum Ausführen von SQL-Workflows in BigQuery.
Blockieren der Kommunikation zwischen dem Dataform-Standarddienstkonto
und BigQuery müssen Sie alle vordefinierten und benutzerdefinierten Rollen
die die Berechtigung bigquery.jobs.create enthalten, die gewährt wurde
das Dataform-Standarddienstkonto. Um Rollen zu widerrufen, folgen Sie der
Zugriff auf Projekte, Ordner und Organisationen verwalten
.
Benutzerdefinierte Dataform-Dienstkonten verwenden Folgendes: Berechtigungen und Rollen für die Kommunikation mit BigQuery:
- Die Berechtigung
bigquery.jobs.createfür das benutzerdefinierte Dienstkonto. - Die Rolle „Ersteller von Dienstkonto-Tokens“ (
roles/iam.serviceAccountTokenCreator) die dem Dataform-Standarddienstkonto im benutzerdefinierten Dienstkonto gewährt wurden.
Sie können die Kommunikation zwischen einem benutzerdefinierten Dataform-Dienst blockieren Konto und BigQuery auf eine der folgenden Arten:
Ersteller von Dienstkonto-Tokens widerrufen (
roles/iam.serviceAccountTokenCreator) Rolle, wurde dem Standarddienstkonto gewährt für das ausgewählte benutzerdefinierte Dataform-Dienstkonto. So widerrufen Sie die Ersteller von Dienstkonto-Token (roles/iam.serviceAccountTokenCreator) Rolle, folgen Sie den Zugriff auf Dienstkonten verwalten .Widerrufen Sie alle vordefinierten und benutzerdefinierten Rollen, die dem folgenden auf Projektebene gewährt wurden: benutzerdefiniertes Dienstkonto, das
bigquery.jobs.createenthält Berechtigung. Um Rollen zu widerrufen, folgen Sie der Zugriff auf Projekte, Ordner und Organisationen verwalten .
Die Berechtigung bigquery.jobs.create ist in Folgendem enthalten:
vordefinierte BigQuery-IAM-Rollen
die widerrufen werden müssen:
- BigQuery Admin (
roles/bigquery.admin) - BigQuery-Jobnutzer(
roles/bigquery.jobUser) - BigQuery-Nutzer (
roles/bigquery.user) - BigQuery Studio-Administrator (
roles/bigquery.studioAdmin) - BigQuery Studio Nutzer (
roles/bigquery.studioUser)
Optional: Kommunikation mit Secret Manager blockieren
Dataform verwendet die Berechtigung secretmanager.versions.access, um
auf einzelne Secret Manager-Secrets zugreifen. Sie erteilen diese Berechtigung
dem Dataform-Standarddienstkonto für ein ausgewähltes
wenn Sie ein Secret Manager-Secret
Dataform-Repository mit einem Drittanbieter-Repository verbinden
Um die Kommunikation zwischen Dataform und Secret Manager zu blockieren, Sie müssen den Zugriff auf alle Secrets aus dem standardmäßigen Dataform widerrufen Dienstkonto.
So widerrufen Sie den Standardzugriff auf ein Secret Manager-Secret
Dataform-Dienstkonto
folgen Sie der Anleitung unter Zugriff auf Secrets verwalten.
in der Secret Manager-Dokumentation. Sie müssen alle widerrufen.
vordefinierten und benutzerdefinierten Rollen, die die
Berechtigung secretmanager.versions.access für die Standardeinstellung gewährt
Dataform-Dienstkonto für das ausgewählte Secret.
Die Berechtigung secretmanager.versions.access ist in Folgendem enthalten:
vordefinierte Secret Manager-IAM-Rollen:
- Secret Manager-Administrator (
roles/secretmanager.admin) - Auf Secret Manager-Secret zugreifende Person (
roles/secretmanager.secretAccessor) - Secret Manager-Secret-Versionsmanager (
roles/secretmanager.secretVersionManager)
Nächste Schritte
- Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
- Weitere Informationen zur Organisationsrichtlinie finden Sie unter Einführung in den Organisationsrichtliniendienst
- Weitere Informationen zu Dienstkonten in Dataform finden Sie unter Dienstkonten in Dataform