Os VPC Service Controls podem melhorar sua capacidade de reduzir o risco de exfiltração de dados dos Google Cloud serviços. É possível usar o VPC Service Controls para criar perímetros de serviço que ajudam a proteger os recursos e os dados dos serviços especificados explicitamente.
Para adicionar o serviço Looker (Google Cloud Core) a um perímetro de serviço do VPC Service Controls, siga as instruções sobre como criar um perímetro de serviço na página de documentação Criar um perímetro de serviço e selecione API Looker (Google Cloud Core) na caixa de diálogo Especificar serviços a serem restritos. Para saber mais sobre o uso do VPC Service Controls, acesse a página de documentação Visão geral do VPC Service Controls.
O VPC Service Controls oferece suporte a instâncias do Looker (Google Cloud Core) que atendem a dois critérios:
- As edições de instância precisam ser Enterprise ou Embed.
- As configurações de rede da instância precisam usar apenas IPs particulares.
Funções exigidas
Para entender os papéis do IAM necessários para configurar o VPC Service Controls, acesse a página Controle de acesso com o IAM da documentação do VPC Service Controls.
Como remover a rota padrão
Quando uma instância do Looker (núcleo do Google Cloud) é criada em um Google Cloud projeto que está dentro de um perímetro do VPC Service Controls ou em um projeto adicionado a um perímetro do VPC Service Controls, é necessário remover a rota padrão para a Internet.
Para remover a rota padrão para a Internet, selecione uma das seguintes opções:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud Core).
Para mais informações, acesse a página de documentação gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP e URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Solicitar corpo JSON:
{
"consumerNetwork": NETWORK
}
Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud Core).
Para mais informações, acesse a página de documentação Método: services.enableVpcServiceControls.
Conectar-se a recursos ou serviços fora do perímetro do VPC Service Controls
Para se conectar a outro recurso ou serviço Google Cloud , talvez seja necessário configurar regras de entrada e saída se o projeto em que o recurso está localizado estiver fora do perímetro do VPC Service Controls.
Para informações sobre como acessar outros recursos externos, siga as instruções para o tipo de recurso ao qual você quer se conectar na página de documentação Rede IP particular com o Looker (Google Cloud Core).
Como adicionar chaves CMEK a um perímetro
Às vezes, uma instância do Looker (Google Cloud Core) ativada com chaves de criptografia gerenciadas pelo cliente (CMEK) tem a chave do Cloud KMS hospedada em um projeto Google Cloud diferente. Para esse cenário, quando você ativa o VPC Service Controls, é preciso adicionar o projeto de hospedagem de chave KMS ao perímetro de segurança.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Configurar a instância do Looker (Google Cloud Core)