VPC Service Controls vous aide à réduire le risque de copie ou de transfert non autorisé de données à partir de vos services gérés par Google.
Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.
Créer un périmètre de service
Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.
Lorsque vous concevez le périmètre de service, incluez les services suivants :
- API Migration Center (
migrationcenter.googleapis.com) - API ARM (
rapidmigrationassessment.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Resource Manager (
cloudresourcemanager.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Autoriser le trafic avec des règles de transfert de données entrantes
Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrant à partir de services extérieurs au périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données en dehors du périmètre ou d'utiliser le client de découverte pour collecter vos données d'infrastructure, configurez des règles d'accès aux données pour autoriser cela.
Activer l'importation de données
Pour activer l'importation de données, spécifiez Règles de transfert de données entrantes en utilisant la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: service par produit et par projet que vous utilisez pour importer des données dans Migration Center, avec le le format suivant:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Ici,
PROJECT_NUMBERcorrespond à l'identifiant unique du projet Google Cloud dans lequel vous avez activé l'API Migration Center. Pour en savoir plus sur les numéros de projet, consultez la section Identifier des projets.PROJECT_ID: ID du projet dans le périmètre dans lequel vous souhaitez importer les données.
Vous ne pouvez pas utiliser
ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT
par des URL signées.
Pour en savoir plus, consultez
Autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre.
Activer la collecte des données avec le client de découverte
Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrantes avec la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: compte de service que vous utilisée pour créer le client de découverte. Pour en savoir plus, consultez le processus d'installation du client de découverte.PROJECT_ID: ID du projet dans le périmètre dans lequel vous souhaitez importer les données.
Limites
Les limites suivantes s'appliquent lorsque vous activez le périmètre de service.
StratoZone
StratoZone n'est pas conforme à VPC Service Controls. Si vous essayez d'activer le Intégration de StratoZone à Migration Center après la création du service vous obtenez une erreur.
Toutefois, si vous avez activé l'intégration de StratoZone avant de créer le périmètre de service, vous pouvez toujours accéder à StratoZone et aux données déjà collectées, mais Migration Center n'envoie plus de nouvelles données à StratoZone.