VPC Service Controls peut vous aider à limiter le risque d'exfiltration de données à partir des services Google Cloud. VPC Service Controls vous permet de créer des périmètres de service qui aident à protéger les ressources et les données des services que vous spécifiez explicitement.
Pour ajouter le service Looker (Google Cloud Core) à un périmètre de service VPC Service Controls, suivez les instructions permettant de créer un périmètre de service sur la page de documentation Créer un périmètre de service, puis sélectionnez API Looker (Google Cloud Core) dans la boîte de dialogue Spécifier les services à restreindre. Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez la page de documentation Présentation de VPC Service Controls.
VPC Service Controls est compatible avec les instances Looker (Google Cloud Core) qui répondent à deux critères :
- Les éditions d'instance doivent être Enterprise ou Embed.
- Les configurations réseau des instances doivent utiliser des adresses IP privées uniquement
Rôles requis
Pour comprendre les rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.
Supprimer la route par défaut
Lorsqu'une instance Looker (Google Cloud Core) est créée dans un projet Google Cloud faisant partie d'un périmètre VPC Service Controls ou d'un projet ajouté à un périmètre VPC Service Controls, vous devez supprimer la route par défaut vers Internet.
Pour supprimer la route par défaut vers Internet, sélectionnez l'une des options suivantes:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Remplacez NETWORK
par le réseau VPC de votre instance Looker (Google Cloud Core).
Pour en savoir plus, consultez la page de documentation gcloud services vpc-peerings enable-vpc-service-controls.
REST
Méthode HTTP et URL :
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corps JSON de la requête :
{ "consumerNetwork": NETWORK }
Remplacez NETWORK
par le réseau VPC de votre instance Looker (Google Cloud Core).
Pour en savoir plus, consultez la page de documentation Méthode: services.enableVpcServiceControls.
Se connecter à des ressources ou à des services en dehors du périmètre VPC Service Controls
Pour vous connecter à une autre ressource ou à un autre service Google Cloud, vous devrez peut-être configurer des règles d'entrée et de sortie si le projet dans lequel se trouve la ressource se trouve en dehors du périmètre de VPC Service Controls.
Pour savoir comment accéder à d'autres ressources externes, suivez les instructions correspondant au type de ressource auquel vous souhaitez vous connecter sur la page de documentation Mise en réseau IP privée avec Looker (Google Cloud Core).
Ajouter des clés CMEK à un périmètre
Parfois, une instance Looker (Google Cloud Core) pour laquelle les clés de chiffrement gérées par le client (CMEK) sont activées possède la clé Cloud KMS qui est hébergée dans un autre projet Google Cloud. Dans ce scénario, lorsque vous activez VPC Service Controls, vous devez ajouter le projet hébergeant la clé KMS au périmètre de sécurité.
Étape suivante
- Connecter Looker (Google Cloud Core) à votre base de données
- Configurer l'instance Looker (Google Cloud Core)