Notez que vous consultez la documentation Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Compatibilité de VPC Service Controls avec Looker (Google Cloud Core)

VPC Service Controls peut vous aider à limiter le risque d'exfiltration de données à partir des services Google Cloud. Vous pouvez utiliser VPC Service Controls pour créer des périmètres de service qui contribuent à protéger les ressources et les données des services que vous spécifiez explicitement.

Pour ajouter le service Looker (Google Cloud Core) à un périmètre de service VPC Service Controls, suivez les instructions permettant de créer un périmètre de service sur la page de documentation Créer un périmètre de service, puis sélectionnez API Looker (Google Cloud Core) dans la boîte de dialogue Spécifier les services à restreindre. Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez la page de documentation Présentation de VPC Service Controls.

VPC Service Controls est compatible avec les instances Looker (Google Cloud Core) qui répondent à deux critères:

Les éditions d'instances doivent être de type Enterprise ou Embed
Les configurations réseau des instances ne doivent utiliser qu'une adresse IP privée

Rôles requis

Pour comprendre les rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.

Supprimer la route par défaut

Lorsqu'une instance Looker (Google Cloud Core) est créée dans un projet Google Cloud faisant partie d'un périmètre VPC Service Controls ou d'un projet ajouté à un périmètre VPC Service Controls, vous devez supprimer la route par défaut vers Internet.

Pour supprimer la route par défaut vers Internet, sélectionnez l'une des options suivantes:

gcloud

gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com

Remplacez NETWORK par le réseau VPC de votre instance Looker (Google Cloud Core).

Pour en savoir plus, consultez la page de documentation gcloud services vpc-peerings enable-vpc-service-controls.

REST

Méthode HTTP et URL :

PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls

Corps JSON de la requête :

{
"consumerNetwork": NETWORK
}

Remplacez NETWORK par le réseau VPC de votre instance Looker (Google Cloud Core).

Pour en savoir plus, consultez la page de documentation Méthode: services.enableVpcServiceControls.

Se connecter à des ressources ou à des services en dehors du périmètre de VPC Service Controls

Pour vous connecter à une autre ressource ou à un autre service Google Cloud, vous devrez peut-être configurer des règles d'entrée et de sortie si le projet dans lequel se trouve la ressource se trouve en dehors du périmètre de VPC Service Controls.

Pour en savoir plus sur l'accès à d'autres ressources externes, suivez les instructions correspondant au type de ressource auquel vous souhaitez vous connecter sur la page de documentation Mise en réseau IP privée avec Looker (Google Cloud Core).

Ajouter des clés CMEK à un périmètre

Parfois, une instance Looker (Google Cloud Core) pour laquelle les clés de chiffrement gérées par le client (CMEK) sont activées possède la clé Cloud KMS qui est hébergée dans un autre projet Google Cloud. Dans ce scénario, lorsque vous activez VPC Service Controls, vous devez ajouter le projet hébergeant la clé KMS au périmètre de sécurité.