VPC Service Controls peut améliorer votre capacité à limiter le risque d'exfiltration de données à partir des services Google Cloud. Vous pouvez utiliser VPC Service Controls pour créer des périmètres de service afin de protéger les ressources et les données des services que vous spécifiez explicitement.
Pour ajouter le service Looker (Google Cloud Core) à un périmètre de service VPC Service Controls, suivez les instructions de création d'un périmètre de service sur la page de documentation Créer un périmètre de service, puis sélectionnez API Looker (Google Cloud Core) dans la boîte de dialogue Spécifier les services à restreindre. Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez la page de documentation Présentation de VPC Service Controls.
VPC Service Controls est compatible avec les instances Looker (Google Cloud Core) qui répondent à deux critères:
- Les éditions de l'instance doivent être Enterprise ou Embed.
- Les configurations réseau des instances ne doivent utiliser que des adresses IP privées.
Rôles requis
Pour comprendre les rôles IAM requis pour configurer VPC Service Controls, consultez la page Contrôle des accès avec IAM dans la documentation de VPC Service Controls.
Supprimer la route par défaut
Lorsqu'une instance Looker (Google Cloud Core) est créée dans un projet Google Cloud situé dans un périmètre VPC Service Controls ou dans un projet qui est ajouté à un périmètre VPC Service Controls, vous devez supprimer la route par défaut vers Internet.
Pour supprimer la route par défaut vers Internet, sélectionnez l'une des options suivantes:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Remplacez NETWORK
par le réseau VPC de votre instance Looker (Google Cloud Core).
Pour en savoir plus, consultez la page de documentation gcloud services vpc-peerings enable-vpc-service-controls.
REST
Méthode HTTP et URL :
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corps JSON de la requête :
{ "consumerNetwork": NETWORK }
Remplacez NETWORK
par le réseau VPC de votre instance Looker (Google Cloud Core).
Pour en savoir plus, consultez la page de documentation Méthode: services.enableVpcServiceControls.
Se connecter à des ressources ou à des services situés en dehors du périmètre VPC Service Controls
Pour vous connecter à une autre ressource ou à un autre service Google Cloud, vous devrez peut-être configurer des règles d'entrée et de sortie si le projet dans lequel se trouve la ressource se trouve en dehors du périmètre de VPC Service Controls.
Pour en savoir plus sur l'accès à d'autres ressources externes, suivez les instructions correspondant au type de ressource auquel vous souhaitez vous connecter sur la page de documentation Réseau IP privé avec Looker (Google Cloud Core).
Ajouter des clés CMEK à un périmètre
Parfois, une instance Looker (Google Cloud Core) activée à l'aide de clés de chiffrement gérées par le client (CMEK) dispose de la clé Cloud KMS hébergée dans un autre projet Google Cloud. Dans ce scénario, lorsque vous activez VPC Service Controls, vous devez ajouter le projet hébergeant la clé KMS au périmètre de sécurité.
Étape suivante
- Connecter Looker (Google Cloud Core) à votre base de données
- Configurer l'instance Looker (Google Cloud Core)