Los Controles del servicio de VPC pueden mejorar tu capacidad de mitigar el riesgo de robo de datos de los servicios de Google Cloud. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que ayuden a proteger los recursos y datos de los servicios que especifiques de forma explícita.
Si deseas agregar el servicio de Looker (Google Cloud Core) a un perímetro de servicio de Controles del servicio de VPC, sigue las instrucciones para crear un perímetro de servicio en la página de documentación Crea un perímetro de servicio y selecciona API de Looker (Google Cloud Core) en el diálogo Especificar servicios para restringir. Para obtener más información sobre el uso de los Controles del servicio de VPC, visita la página de documentación Descripción general de los Controles del servicio de VPC.
Los Controles del servicio de VPC admiten instancias de Looker (Google Cloud Core) que cumplen con dos criterios:
- Las ediciones de instancias deben ser Enterprise o Embed.
- Los parámetros de configuración de red de las instancias deben usar solo IP privadas.
Roles obligatorios
Si quieres conocer los roles de IAM necesarios para configurar los Controles del servicio de VPC, visita la página Control de acceso con IAM de la documentación de los Controles del servicio de VPC.
Cómo quitar la ruta predeterminada
Cuando se crea una instancia de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud que está dentro de un perímetro de Controles del servicio de VPC o dentro de un proyecto que se agrega a un perímetro de Controles del servicio de VPC, debes quitar la ruta predeterminada a Internet.
Para quitar la ruta predeterminada a Internet, selecciona una de las siguientes opciones:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Reemplaza NETWORK
por la red de VPC de tu instancia de Looker (Google Cloud Core).
Para obtener más información, visita la página de documentación gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP y URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Cuerpo JSON de la solicitud:
{ "consumerNetwork": NETWORK }
Reemplaza NETWORK
por la red de VPC de tu instancia de Looker (Google Cloud Core).
Para obtener más información, visita la página de documentación Método: services.enableVpcServiceControls.
Conéctate a recursos o servicios fuera del perímetro de los Controles del servicio de VPC
Para conectarte a otro recurso o servicio de Google Cloud, es posible que debas configurar reglas de entrada y salida si el proyecto en el que se encuentra el recurso está fuera del perímetro de los Controles del servicio de VPC.
Si quieres obtener información para acceder a otros recursos externos, sigue las instrucciones correspondientes al tipo de recurso al que quieres conectarte en la página de documentación Redes de IP privadas con Looker (Google Cloud Core).
Agrega claves CMEK a un perímetro
A veces, una instancia de Looker (Google Cloud Core) que está habilitada con claves de encriptación administradas por el cliente (CMEK) tiene la clave de Cloud KMS alojada en un proyecto de Google Cloud diferente. En esta situación, cuando habilites los Controles del servicio de VPC, debes agregar el proyecto de hosting de claves de KMS al perímetro de seguridad.
Próximos pasos
- Cómo conectar Looker (Google Cloud Core) a tu base de datos
- Configura la instancia de Looker (Google Cloud Core)