I Controlli di servizio VPC possono migliorare la tua capacità di ridurre il rischio di esfiltrazione di dati dai Google Cloud servizi. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che contribuiscono a proteggere le risorse e i dati dei servizi che specifichi esplicitamente.
Per aggiungere il servizio Looker (Google Cloud core) a un perimetro di servizio VPC Service Controls, segui le istruzioni su come creare un perimetro di servizio nella pagina della documentazione Creare un perimetro di servizio e seleziona API Looker (Google Cloud core) nella finestra di dialogo Specifica i servizi da limitare. Per scoprire di più sull'utilizzo dei Controlli di servizio VPC, consulta la pagina della documentazione Panoramica dei Controlli di servizio VPC.
Controlli di servizio VPC supporta le istanze di Looker (Google Cloud core) che soddisfano due criteri:
- Le versioni delle istanze devono essere Enterprise o Incorporata
- Le configurazioni di rete delle istanze devono utilizzare solo IP privati
Ruoli obbligatori
Per informazioni sui ruoli IAM necessari per configurare i Controlli di servizio VPC, consulta la pagina Controllo dell'accesso con IAM della documentazione di VPC Service Controls.
Rimozione della route predefinita
Quando un'istanza di Looker (core di Google Cloud) viene creata all'interno di un Google Cloud progetto che si trova all'interno di un perimetro di Controlli di servizio VPC o all'interno di un progetto che viene aggiunto a un perimetro di Controlli di servizio VPC, devi rimuovere la route predefinita per internet.
Per rimuovere la route predefinita per internet, seleziona una delle seguenti opzioni:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Sostituisci NETWORK con la rete VPC della tua istanza di Looker (Google Cloud core).
Per ulteriori informazioni, visita la pagina di documentazione gcloud services vpc-peerings enable-vpc-service-controls.
REST
Metodo HTTP e URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corpo JSON della richiesta:
{
"consumerNetwork": NETWORK
}
Sostituisci NETWORK con la rete VPC della tua istanza di Looker (Google Cloud core).
Per ulteriori informazioni, consulta la pagina di documentazione Metodo: services.enableVpcServiceControls.
Connessione a risorse o servizi esterni al perimetro dei Controlli di servizio VPC
Per connetterti a un'altra Google Cloud risorsa o a un altro servizio, potrebbe essere necessario configurare le regole di ingresso e di uscita se il progetto in cui si trova la risorsa si trova al di fuori del perimetro di Controlli di servizio VPC.
Per informazioni su come accedere ad altre risorse esterne, segui le istruzioni per il tipo di risorsa a cui vuoi connetterti nella pagina della documentazione Private IP networking with Looker (Google Cloud core) (Networking con IP privato con Looker (Google Cloud core)).
Aggiunta di chiavi CMEK a un perimetro
A volte, un'istanza di Looker (Google Cloud core) abilitata con chiavi di crittografia gestite dal cliente (CMEK) ha la chiave Cloud KMS ospitata in un progetto Google Cloud diverso. Per questo scenario, quando attivi Controlli di servizio VPC, devi aggiungere il progetto che ospita la chiave KMS al perimetro di sicurezza.
Passaggi successivi
- Connetti Looker (Google Cloud core) al tuo database
- Configura l'istanza di Looker (Google Cloud core)