VPC Service Controls vous aide à réduire le risque de copie ou de transfert non autorisé de données à partir de vos services gérés par Google.
Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.
Créer un périmètre de service
Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.
Lorsque vous concevez le périmètre de service, incluez les services suivants:
- API Migration Center (
migrationcenter.googleapis.com
) - API ARM (
rapidmigrationassessment.googleapis.com
) - API Cloud Storage (
storage.googleapis.com
) - API Resource Manager (
cloudresourcemanager.googleapis.com
) - API Cloud Logging (
logging.googleapis.com
)
Autoriser le trafic avec des règles de transfert de données entrantes
Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrantes à partir de services en dehors du périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données en dehors du périmètre ou d'utiliser le client de découverte pour collecter vos données d'infrastructure, configurez des règles d'accès aux données pour autoriser cela.
Activer l'importation de données
Pour activer l'importation de données, spécifiez les règles de transfert de données entrantes à l'aide de la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT
: compte de service par produit et par projet que vous utilisez pour importer des données dans Migration Center, au format suivant :service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
Ici,
PROJECT_NUMBER
correspond à l'identifiant unique du projet Google Cloud dans lequel vous avez activé l'API Migration Center. Pour en savoir plus sur les numéros de projet, consultez la section Identifier des projets.PROJECT_ID
: ID du projet dans le périmètre dans lequel vous souhaitez importer les données.
Vous ne pouvez pas utiliser les types d'identité ANY_SERVICE_ACCOUNT
et ANY_USER_ACCOUNT
avec des URL signées. Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre.
Activer la collecte des données avec le client de découverte
Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrantes avec la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT
: compte de service que vous avez utilisé pour créer le client de découverte. Pour en savoir plus, consultez le processus d'installation du client de découverte.PROJECT_ID
: ID du projet dans le périmètre dans lequel vous souhaitez importer les données.
Limites
Les limites suivantes s'appliquent lorsque vous activez le périmètre de service.
StratoZone
StratoZone n'est pas conforme à VPC Service Controls. Si vous essayez d'activer l'intégration de StratoZone à Migration Center après avoir créé le périmètre de service, un message d'erreur s'affiche.
Toutefois, si vous avez activé l'intégration de StratoZone avant de créer le périmètre de service, vous pouvez toujours accéder à StratoZone et aux données déjà collectées, mais Migration Center n'envoie plus de nouvelles données à StratoZone.