Controles de Servicio de VPC puede mejorar tu capacidad para mitigar el riesgo de filtración externa de datos de los servicios de Google Cloud . Puedes usar Controles de Servicio de VPC para crear perímetros de servicio que te ayuden a proteger los recursos y los datos de los servicios que especifiques explícitamente.
Para añadir el servicio Looker (Google Cloud core) a un perímetro de servicio de Controles de Servicio de VPC, sigue las instrucciones para crear un perímetro de servicio que se indican en la página de documentación Crear un perímetro de servicio y selecciona API de Looker (Google Cloud core) en el cuadro de diálogo Especificar servicios que se van a restringir. Para obtener más información sobre cómo usar Controles de Servicio de VPC, consulta la página de documentación Información general sobre Controles de Servicio de VPC.
Controles de Servicio de VPC es compatible con las instancias de Looker (Google Cloud Core) que cumplen dos criterios:
- Las ediciones de instancia deben ser Enterprise o Embed.
- Las configuraciones de red de las instancias deben usar conexiones privadas
Roles obligatorios
Para saber qué roles de gestión de identidades y accesos se necesitan para configurar Controles de Servicio de VPC, consulta la página Control de acceso con gestión de identidades y accesos de la documentación de Controles de Servicio de VPC.
Eliminar la ruta predeterminada
Cuando se crea una instancia de Looker (en la infraestructura de Google Cloud) en un Google Cloud proyecto que está dentro de un perímetro de Controles de Servicio de VPC o en un proyecto que se añade a un perímetro de Controles de Servicio de VPC, debes eliminar la ruta predeterminada a Internet.
Para quitar la ruta predeterminada a Internet, selecciona una de las siguientes opciones:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Sustituye NETWORK por la red de VPC de tu instancia de Looker (Google Cloud core).
Para obtener más información, consulta la página de documentación gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP y URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Cuerpo JSON de la solicitud:
{
"consumerNetwork": NETWORK
}
Sustituye NETWORK por la red de VPC de tu instancia de Looker (Google Cloud core).
Para obtener más información, consulta la página de documentación Method: services.enableVpcServiceControls.
Conectarse a recursos o servicios fuera del perímetro de Controles de Servicio de VPC
Para conectarte a otro Google Cloud recurso o servicio, puede que tengas que configurar reglas de entrada y salida si el proyecto en el que se encuentra el recurso está fuera del perímetro de Controles de Servicio de VPC.
Para obtener información sobre cómo acceder a otros recursos externos, sigue las instrucciones del tipo de recurso al que quieras conectarte en la página de documentación Acceder a servicios externos mediante el acceso a servicios privados o Acceso de salida de Looker (Google Cloud core) a servicios externos mediante Private Service Connect (en función de si tu instancia usa el acceso a servicios privados o Private Service Connect).
Añadir claves CMEK a un perímetro
A veces, una instancia de Looker (Google Cloud core) que tiene habilitadas las claves de cifrado gestionadas por el cliente (CMEK) tiene la clave de Cloud KMS alojada en un proyecto diferente. Google Cloud En este caso, cuando habilites Controles de servicio de VPC, debes añadir el proyecto de alojamiento de la clave de KMS al perímetro de seguridad.
Siguientes pasos
- Conectar Looker (Google Cloud Core) a tu base de datos
- Configurar la instancia de Looker (Google Cloud Core)