VPC Service Controls vous aide à réduire le risque de copie ou de transfert non autorisé de données à partir de vos services gérés par Google.
Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.
Créer un périmètre de service
Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.
Lorsque vous concevez le périmètre de service, incluez les services suivants:
- API Migration Center (
migrationcenter.googleapis.com) - API RMA (
rapidmigrationassessment.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Resource Manager (
cloudresourcemanager.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Autoriser le trafic avec des règles de transfert de données entrantes
Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrant à partir de services situés en dehors du périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données depuis l'extérieur du périmètre ou d'utiliser le client de découverte pour collecter vos données d'infrastructure, configurez des règles d'accès aux données pour autoriser cela.
Activer l'importation de données
Pour activer l'importation de données, spécifiez les règles de transfert de données entrantes à l'aide de la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: compte de service par produit et par projet que vous utilisez pour importer des données dans Migration Center, au format suivant :service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Ici,
PROJECT_NUMBERcorrespond à l'identifiant unique du projet Google Cloud dans lequel vous avez activé l'API Migration Center. Pour en savoir plus sur les numéros de projet, consultez la section Identifier des projets.PROJECT_ID: ID du projet situé dans le périmètre dans lequel vous souhaitez importer les données.
Vous ne pouvez pas utiliser de types d'identité ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT avec des URL signées. Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre.
Activer la collecte de données avec le client de découverte
Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrant avec la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: compte de service que vous avez utilisé pour créer le client de découverte. Pour en savoir plus, consultez le processus d'installation du client de découverte.PROJECT_ID: ID du projet situé dans le périmètre dans lequel vous souhaitez importer les données.
Limites
Les limites suivantes s'appliquent lorsque vous activez le périmètre de service.
StratoZone
StratoZone n'est pas conforme à VPC Service Controls. Si vous essayez d'activer l'intégration de StratoZone avec Migration Center après avoir créé le périmètre de service, vous recevez un message d'erreur.
Toutefois, si vous avez activé l'intégration StratoZone avant de créer le périmètre de service, vous pouvez toujours accéder à StratoZone et aux données déjà collectées, mais Migration Center n'envoie aucune nouvelle donnée à StratoZone.
Exporter des rapports
L'exportation du rapport détaillé sur la tarification n'est pas possible dans le périmètre de service.