Los Controles del servicio de VPC pueden mejorar tu capacidad para mitigar el riesgo de robo de datos de los servicios de Google Cloud. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que ayuden a proteger los recursos y datos de los servicios que especifiques de forma explícita.
Para agregar el servicio de Looker (Google Cloud Core) a un perímetro de servicio de Controles del servicio de VPC, sigue las instrucciones para crear un perímetro de servicio en la página de documentación Crea un perímetro de servicio y selecciona API de Looker (Google Cloud Core) en el diálogo Especifica los servicios que deseas restringir. Si quieres obtener más información para usar los Controles del servicio de VPC, visita la página de documentación Descripción general de los Controles del servicio de VPC.
Los Controles del servicio de VPC son compatibles con instancias de Looker (Google Cloud Core) que cumplen con dos criterios:
- Las ediciones de las instancias deben ser Enterprise o Embed.
- Los parámetros de configuración de red de las instancias deben usar solo una IP privada.
Funciones obligatorias
Si deseas comprender los roles de IAM necesarios para configurar los Controles del servicio de VPC, visita la página Control de acceso con IAM de la documentación de los Controles del servicio de VPC.
Quita la ruta predeterminada
Cuando se crea una instancia de Looker (Google Cloud Core) en un proyecto de Google Cloud que está en un perímetro de Controles del servicio de VPC o dentro de un proyecto que se agrega a un perímetro de Controles del servicio de VPC, debes quitar la ruta predeterminada a Internet.
Para quitar la ruta predeterminada a Internet, selecciona una de las siguientes opciones:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Reemplaza NETWORK por la red de VPC de tu instancia de Looker (Google Cloud Core).
Para obtener más información, visita la página de documentación de gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP y URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Cuerpo JSON de la solicitud:
{
"consumerNetwork": NETWORK
}
Reemplaza NETWORK por la red de VPC de tu instancia de Looker (Google Cloud Core).
Para obtener más información, visita la página de documentación Método: services.enableVpcServiceControls.
Conéctate a recursos o servicios fuera del perímetro de los Controles del servicio de VPC
Para conectarte a otro recurso o servicio de Google Cloud, es posible que debas configurar reglas de entrada y salida si el proyecto en el que se encuentra el recurso se encuentra fuera del perímetro de los Controles del servicio de VPC.
Si quieres obtener información para acceder a otros recursos externos, sigue las instrucciones para el tipo de recurso al que quieres conectarte en la página de documentación Redes de IP privadas con Looker (Google Cloud Core).
Agrega claves CMEK a un perímetro
A veces, una instancia de Looker (Google Cloud Core) que está habilitada con claves de encriptación administradas por el cliente (CMEK) tiene la clave de Cloud KMS alojada en un proyecto de Google Cloud diferente. En esta situación, cuando habilitas los Controles del servicio de VPC, debes agregar el proyecto de hosting de claves de KMS al perímetro de seguridad.
Próximos pasos
- Conecta Looker (Google Cloud Core) a tu base de datos
- Configura la instancia de Looker (Google Cloud Core)