Proteja os seus dados com um perímetro de serviço

O VPC Service Controls ajuda a reduzir o risco de cópia ou transferência não autorizada de dados dos seus serviços geridos pela Google.

Com os VPC Service Controls, pode configurar perímetros de serviço em torno dos recursos dos seus serviços geridos pela Google e controlar a movimentação de dados através do limite do perímetro.

Crie um perímetro de serviço

Para criar um perímetro de serviço, siga o guia dos VPC Service Controls para criar um perímetro de serviço.

Quando conceber o perímetro de serviço, inclua os seguintes serviços:

  • API Migration Center (migrationcenter.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)

Permita tráfego com regras de transferência de dados de entrada

Por predefinição, o perímetro de serviço foi concebido para impedir a transferência de dados de entrada de serviços fora do perímetro. Se planeia usar a Importação de dados para carregar dados de fora do perímetro ou usar o cliente de deteção para recolher os dados da sua infraestrutura, configure regras de acesso aos dados para o permitir.

Ative a importação de dados

Para ativar a Importação de dados, especifique as regras de transferência de dados de entrada com a seguinte sintaxe:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Substitua o seguinte:

  • SERVICE_ACCOUNT: a conta de serviço por produto e por projeto que usa para carregar dados para o Centro de migrações, com o seguinte formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Aqui, PROJECT_NUMBER é o identificador exclusivo do projeto onde ativou a API Migration Center.Google Cloud Para mais informações sobre os números dos projetos, consulte o artigo Identificar projetos.

  • PROJECT_ID: o ID do projeto dentro do perímetro para o qual quer carregar os dados.

Não pode usar os tipos de identidade ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT com URLs assinados. Para mais informações, consulte o artigo Permitir o acesso a recursos protegidos a partir do exterior do perímetro.

Ative a recolha de dados com o cliente de descoberta

Para ativar a recolha de dados com o cliente de deteção, especifique as regras de transferência de dados de entrada com a seguinte sintaxe:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Substitua o seguinte:

  • SERVICE_ACCOUNT: a conta de serviço que usou para criar o cliente de descoberta. Para mais informações, reveja o processo de instalação do cliente de deteção.

  • PROJECT_ID: o ID do projeto dentro do perímetro para o qual quer carregar os dados.