Los Controles del servicio de VPC pueden mejorar tu capacidad de mitigar el riesgo de robo de datos de los servicios de Google Cloud. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que ayuden a proteger los recursos y datos de los servicios que especifiques de forma explícita.
Para agregar el servicio de Looker (Google Cloud Core) a un perímetro de servicio de Controles del servicio de VPC, sigue las instrucciones para crear un perímetro de servicio en la página de documentación de Crea un perímetro de servicio y selecciona API de Looker (Google Cloud Core) en el diálogo Especificar los servicios que deseas restringir. Para obtener más información sobre cómo usar los Controles del servicio de VPC, consulta la página de documentación general de Controles del servicio de VPC.
Los Controles del servicio de VPC admiten instancias de Looker (Google Cloud Core) que cumplen con dos criterios:
- Las ediciones de las instancias deben ser Enterprise o Embed
- Las configuraciones de red de la instancia deben usar solo IP privadas
Quita la ruta predeterminada
Cuando se crea una instancia de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud que se encuentra dentro de un perímetro de Controles del servicio de VPC o dentro de un proyecto que se agrega a un perímetro de Controles del servicio de VPC, ejecute lo siguiente para quitar la ruta predeterminada a Internet.
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
Para obtener más información, visita la página de documentación de gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP y URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Cuerpo JSON de la solicitud:
{
"consumerNetwork": network
}
Para obtener más información, visita la página de documentación Method: services.enableVpcServiceControls.
Conéctate a servicios externos
Para conectar una instancia de Looker (Google Cloud Core) que está dentro de un perímetro a recursos externos, sigue las instrucciones del tipo de recurso al que deseas conectarte en la página de documentación Configura una instancia de Looker de IP privada (Google Cloud Core).
Agrega claves CMEK a un perímetro
A veces, una instancia de Looker (Google Cloud Core) que está habilitada con claves de encriptación administradas por el cliente (CMEK) tiene la clave de Cloud KMS alojada en un proyecto de Google Cloud diferente. Para esta situación, cuando habilites los Controles del servicio de VPC, debes agregar el proyecto de hosting de claves de KMS al perímetro de seguridad.