Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus Google Cloud-Diensten verringern. Mit VPC Service Controls können Sie Dienstperimeter erstellen, um die Ressourcen und Daten von Diensten zu schützen, die Sie explizit angeben.
Wenn Sie den Looker (Google Cloud Core)-Dienst einem VPC Service Controls-Dienstperimeter hinzufügen möchten, folgen Sie der Anleitung zum Erstellen eines Dienstperimeters auf der Dokumentationsseite Dienstperimeter erstellen und wählen Sie dann im Dialogfeld Dienste angeben, die eingeschränkt werden sollen die Option Looker (Google Cloud Core) API aus. Weitere Informationen zur Verwendung von VPC Service Controls finden Sie auf der Seite Übersicht über VPC Service Controls.
VPC Service Controls unterstützt Looker-Instanzen (Google Cloud Core), die zwei Kriterien erfüllen:
- Instanzversionen müssen Enterprise oder Embed sein
- Netzwerkkonfigurationen für Instanzen dürfen nur private IP-Adressen verwenden
Standardroute entfernen
Wenn eine Looker-Instanz (Google Cloud Core) in einem Google Cloud-Projekt innerhalb eines VPC Service Controls-Perimeters erstellt wird oder sich in einem Projekt befindet, das einem VPC Service Controls-Perimeter hinzugefügt wird, führen Sie die folgenden Schritte aus, um die Standardroute zum Internet zu entfernen.
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
Weitere Informationen finden Sie auf der Dokumentationsseite zu gcloud services vpc-peerings enable-vpc-service-controls.
REST
HTTP-Methode und URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
JSON-Text anfordern:
{
"consumerNetwork": network
}
Weitere Informationen finden Sie auf der Dokumentationsseite zu Methode: services.enableVpcServiceControls.
Verbindung zu externen Diensten herstellen
Wenn Sie eine Looker-Instanz (Google Cloud Core) in einem Perimeter mit externen Ressourcen verbinden möchten, folgen Sie der Anleitung auf der Seite Private IP Looker (Google Cloud Core)-Instanz konfigurieren mit dem Ressourcentyp, zu dem Sie eine Verbindung herstellen möchten.
CMEK-Schlüssel zu einem Perimeter hinzufügen
Manchmal ist der Cloud KMS-Schlüssel auf einer Looker-Instanz (Google Cloud-Kern) mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) in einem anderen Google Cloud-Projekt gehostet. Wenn Sie VPC Service Controls aktivieren, müssen Sie in diesem Szenario das Sicherheitsprojekt für den KMS-Schlüssel dem Sicherheitsperimeter hinzufügen.