VPC Service Controls peut vous aider à réduire le risque d'exfiltration de données depuis les services Google Cloud. Vous pouvez utiliser VPC Service Controls pour créer des périmètres de service qui contribuent à protéger les ressources et les données des services que vous spécifiez explicitement.
Pour ajouter le service Looker (Google Cloud Core) à un périmètre de service VPC Service Controls, suivez les instructions de création d'un périmètre de service sur la page de documentation Créer un périmètre de service, puis sélectionnez API Looker (Google Cloud Core) dans la boîte de dialogue Spécifier les services à limiter. Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez la page de présentation de VPC Service Controls.
VPC Service Controls est compatible avec les instances Looker (Google Cloud Core) qui répondent à deux critères:
- Les éditions d'instance doivent être Enterprise ou Embed
- Les configurations de réseau d'instance doivent uniquement utiliser une adresse IP privée
Supprimer la route par défaut
Lorsqu'une instance Looker (Google Cloud Core) est créée dans un projet Google Cloud situé dans un périmètre VPC Service Controls ou dans un projet ajouté à un périmètre VPC Service Controls, exécutez la commande suivante pour supprimer la route par défaut vers Internet.
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
Pour en savoir plus, consultez la page gcloud services vpc-peerings enable-vpc-service-controls.
REST
Méthode HTTP et URL :
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corps JSON de la requête :
{
"consumerNetwork": network
}
Pour en savoir plus, consultez la page de documentation Method: services.enableVpcServiceControls.
Se connecter à des services externes
Pour connecter une instance Looker (Google Cloud Core) située dans un périmètre à des ressources externes, suivez les instructions correspondant au type de ressource auquel vous souhaitez vous connecter sur la page de documentation Configurer une instance Looker IP privée (Google Cloud Core).
Ajouter des clés CMEK à un périmètre
Parfois, une instance Looker (Google Cloud Core) activée avec des clés de chiffrement gérées par le client (CMEK) possède la clé Cloud KMS hébergée dans un autre projet Google Cloud. Dans ce scénario, lorsque vous activez VPC Service Controls, vous devez ajouter le projet d'hébergement de clé KMS au périmètre de sécurité.