O VPC Service Controls pode melhorar sua capacidade de reduzir o risco de exfiltração de dados dos serviços do Google Cloud. É possível usar o VPC Service Controls para criar perímetros de serviço que ajudam a proteger os recursos e os dados dos serviços especificados explicitamente.
Para adicionar o serviço Looker (Google Cloud Core) a um perímetro de serviço do VPC Service Controls, siga as instruções sobre como criar um perímetro de serviço na página de documentação Criar um perímetro de serviço e selecione API Looker (núcleo do Google Cloud) na caixa de diálogo Especificar serviços para restringir. Para saber mais sobre como usar o VPC Service Controls, acesse a página de documentação Visão geral do VPC Service Controls.
O VPC Service Controls é compatível com instâncias do Looker (Google Cloud Core) que atendem a dois critérios:
- As edições da instância precisam ser Enterprise ou Embed.
- As configurações de rede da instância precisam usar apenas IP particular.
Como remover a rota padrão
Quando uma instância do Looker (Google Cloud Core) for criada em um projeto do Google Cloud dentro de um perímetro do VPC Service Controls, ou em um projeto adicionado a um perímetro do VPC Service Controls, execute o comando a seguir para remover a rota padrão para a Internet.
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
Para mais informações, acesse a página da documentação gcloud services vpc-peerings enable-vpc-service-controls.
REST
Método HTTP e URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Solicitar corpo JSON:
{
"consumerNetwork": network
}
Para mais informações, acesse a página de documentação do Method: services.enableVpcServiceControls.
Como se conectar a serviços externos
Para conectar uma instância do Looker (núcleo do Google Cloud) que está dentro de um perímetro a recursos externos, siga as instruções do tipo de recurso a que você quer se conectar na página de documentação Configurar uma instância de IP privado do Looker (Google Cloud Core).
Como adicionar chaves CMEK a um perímetro
Às vezes, uma instância do Looker (Google Cloud Core) que é ativada com chaves de criptografia gerenciadas pelo cliente (CMEK) tem a chave do Cloud KMS hospedada em um projeto diferente do Google Cloud. Nesse cenário, ao ativar o VPC Service Controls, você precisa adicionar o projeto de hospedagem da chave KMS ao perímetro de segurança.