I Controlli di servizio VPC possono migliorare la tua capacità di mitigare il rischio di esfiltrazione di dati dai servizi Google Cloud. Puoi utilizzare Controlli di servizio VPC per creare perimetri di servizio che aiutino a proteggere le risorse e i dati dei servizi da te specificati esplicitamente.
Per aggiungere il servizio Looker (Google Cloud Core) a un perimetro di servizio dei Controlli di servizio VPC, segui le istruzioni su come creare un perimetro di servizio nella pagina della documentazione Crea un perimetro di servizio e seleziona API Looker (Google Cloud core) nella finestra di dialogo Specifica i servizi da limitare. Per ulteriori informazioni sull'utilizzo dei Controlli di servizio VPC, consulta la pagina della documentazione Panoramica dei Controlli di servizio VPC.
Controlli di servizio VPC supporta istanze Looker (Google Cloud Core) che soddisfano due criteri:
- Le versioni dell'istanza devono essere Enterprise o Embed
- Le configurazioni di rete delle istanze devono utilizzare solo l'IP privato
Rimozione della route predefinita
Quando viene creata un'istanza Looker (Google Cloud Core) in un progetto Google Cloud all'interno di un perimetro Controlli di servizio VPC o all'interno di un progetto che viene aggiunto a un perimetro Controlli di servizio VPC, esegui il comando seguente per rimuovere la route predefinita su Internet.
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
Per ulteriori informazioni, visita la pagina della documentazione gcloud services vpc-peerings Enable-vpc-service-controls.
REST
Metodo e URL HTTP:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Corpo JSON richiesta:
{
"consumerNetwork": network
}
Per ulteriori informazioni, visita la pagina della documentazione Metodo: services.enableVpcServiceControls.
Connessione a servizi esterni
Per connettere un'istanza di Looker (Google Cloud Core) all'interno di un perimetro con risorse esterne, segui le istruzioni relative al tipo di risorsa a cui vuoi connetterti nella pagina della documentazione Configurare un'istanza di Looker Looker (Google Cloud Core) privata.
Aggiunta di chiavi CMEK a un perimetro
A volte, un'istanza di Looker (Google Cloud core) abilitata con chiavi di crittografia gestite dal cliente (CMEK) contiene la chiave di Cloud KMS ospitata in un altro progetto di Google Cloud. Per questo scenario, quando abiliti Controlli di servizio VPC, devi aggiungere il progetto di hosting della chiave KMS al perimetro di sicurezza.