Beachten Sie, dass Sie sich die Looker-Dokumentation ansehen. Dokumentation zu Looker Studio finden Sie unter https://support.google.com/looker-studio.

Unterstützung von VPC Service Controls für Looker (Google Cloud Core)

Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus Google Cloud-Diensten verringern. Sie können VPC Service Controls verwenden, um Dienstperimeter zu erstellen, mit denen die Ressourcen und Daten von Diensten geschützt werden, die Sie explizit angeben.

Wenn Sie den Dienst Looker (Google Cloud Core) einem VPC Service Controls-Dienstperimeter hinzufügen möchten, folgen Sie der Anleitung zum Erstellen eines Dienstperimeters auf der Dokumentationsseite Dienstperimeter erstellen und wählen Sie im Dialogfeld Einschränkende Dienste angeben die Option Looker (Google Cloud Core) API aus. Weitere Informationen zur Verwendung von VPC Service Controls finden Sie auf der Dokumentationsseite Übersicht über VPC Service Controls.

VPC Service Controls unterstützt Instanzen von Looker (Google Cloud Core), die zwei Kriterien erfüllen:

Instanzversionen müssen Enterprise oder Embed sein
Netzwerkkonfigurationen der Instanz dürfen nur private IP-Adressen verwenden

Erforderliche Rollen

Informationen zu den erforderlichen IAM-Rollen zum Einrichten von VPC Service Controls finden Sie auf der Seite Zugriffssteuerung mit IAM der Dokumentation zu VPC Service Controls.

Standardroute entfernen

Wenn eine Looker (Google Cloud Core)-Instanz in einem Google Cloud-Projekt erstellt wird, das sich in einem VPC Service Controls-Perimeter oder in einem Projekt befindet, das einem VPC Service Controls-Perimeter hinzugefügt wird, müssen Sie die Standardroute zum Internet entfernen.

Wählen Sie eine der folgenden Optionen aus, um die Standardroute zum Internet zu entfernen:

gcloud

gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com

Ersetzen Sie NETWORK durch das VPC-Netzwerk Ihrer Looker (Google Cloud Core)-Instanz.

Weitere Informationen finden Sie auf der Dokumentationsseite gcloud services vpc-peerings enable-vpc-service-controls.

REST

HTTP-Methode und URL:

PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls

JSON-Text anfordern:

{
"consumerNetwork": NETWORK
}

Ersetzen Sie NETWORK durch das VPC-Netzwerk Ihrer Looker (Google Cloud Core)-Instanz.

Weitere Informationen finden Sie auf der Dokumentationsseite Method: services.enableVpcServiceControls.

Verbindung zu Ressourcen oder Diensten außerhalb des VPC Service Controls-Perimeters herstellen

Wenn Sie eine Verbindung zu einer anderen Google Cloud-Ressource oder einem anderen Google Cloud-Dienst herstellen möchten, müssen Sie möglicherweise Regeln für eingehenden und ausgehenden Traffic einrichten, wenn sich das Projekt, in dem sich die Ressource befindet, außerhalb des VPC Service Controls-Perimeters befindet.

Informationen zum Zugriff auf andere externe Ressourcen finden Sie in der Anleitung für den Ressourcentyp, mit dem Sie eine Verbindung herstellen möchten, auf der Dokumentationsseite Private IP-Netzwerke mit Looker (Google Cloud Core).

CMEK-Schlüssel zu einem Perimeter hinzufügen

Manchmal wird der Cloud KMS-Schlüssel auf einer Looker (Google Cloud Core)-Instanz, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) aktiviert ist, in einem anderen Google Cloud-Projekt gehostet. In diesem Szenario müssen Sie beim Aktivieren von VPC Service Controls das Hostingprojekt des KMS-Schlüssels dem Sicherheitsperimeter hinzufügen.