O VPC Service Controls reduz o risco de cópia ou transferência não autorizada de dados dos serviços gerenciados pelo Google.
Com VPC Service Controls, é possível configurar os perímetros de serviço em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados em todo o limite do perímetro.
Criar um perímetro de serviço
Para criar um perímetro de serviço, siga o Guia do VPC Service Controls para criar um perímetro de serviço.
Ao projetar o perímetro de serviço, inclua os seguintes serviços:
- API Migration Center (
migrationcenter.googleapis.com) - API RMA (
rapidmigrationassessment.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Resource Manager (
cloudresourcemanager.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Permitir tráfego com regras de transferência de dados de entrada
Por padrão, o perímetro de serviço foi projetado para impedir a transferência de dados de entrada de serviços fora do perímetro. Se você planeja usar a importação de dados para fazer upload de dados de fora do perímetro ou usar o discovery client para coletar dados de infraestrutura, configure as regras de acesso a dados para permitir isso.
Ativar a importação de dados
Para ativar a importação de dados, especifique as regras de transferência de dados de entrada usando a seguinte sintaxe:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Substitua:
SERVICE_ACCOUNT: a conta de serviço por produto e por projeto que você usa para fazer upload de dados para a Central de migração, com o seguinte formato:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Aqui,
PROJECT_NUMBERé o identificador exclusivo do projeto do Google Cloud em que você ativou a API Migration Center. Para mais informações sobre números de projeto, consulte Identificar projetos.PROJECT_ID: o ID do projeto dentro do perímetro em que você quer fazer upload dos dados.
Não é possível usar os tipos de identidade
ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT
com URLs assinados.
Para mais informações, consulte
Permitir acesso a recursos protegidos de fora do perímetro.
Ativar a coleta de dados com o discovery client
Para ativar a coleta de dados com o discovery client, especifique as regras de transferência de dados de entrada com a seguinte sintaxe:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Substitua:
SERVICE_ACCOUNT: a conta de serviço usada para criar o discovery client. Para mais informações, consulte o processo de instalação do cliente de descoberta.PROJECT_ID: o ID do projeto dentro do perímetro em que você quer fazer upload dos dados.
Limitações
As limitações a seguir se aplicam quando você ativa o perímetro de serviço.
StratoZone
A StratoZone não tem compliance com o VPC Service Controls. Se você tentar ativar a integração do StratoZone com a Central de migração depois de criar o perímetro de serviço, vai receber um erro.
No entanto, se você tiver ativado a integração do StratoZone antes de criar o perímetro de serviço, ainda poderá acessar o StratoZone e os dados já coletados, mas a Central de migração não vai enviar novos dados para o StratoZone.
Exportação de relatórios
Não é possível exportar o relatório detalhado de preços no perímetro de serviço.