VPC Service Controls vous aide à réduire le risque de copie ou le transfert de données à partir des services gérés par Google.
Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.
Créer un périmètre de service
Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.
Lorsque vous concevez le périmètre de service, incluez les services suivants:
- API Migration Center (
migrationcenter.googleapis.com
) - API RMA (
rapidmigrationassessment.googleapis.com
) - API Cloud Storage (
storage.googleapis.com
) - API Resource Manager (
cloudresourcemanager.googleapis.com
) - API Cloud Logging (
logging.googleapis.com
)
Autoriser le trafic avec des règles de transfert de données entrantes
Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrant à partir de services extérieurs au périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données depuis l'extérieur du périmètre, ou utiliser le client de découverte pour collecter vos données d'infrastructure, et configurez des règles d'accès aux données.
Activer l'importation de données
Pour activer l'importation de données, spécifiez Règles de transfert de données entrantes en utilisant la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT
: service par produit et par projet que vous utilisez pour importer des données dans Migration Center, le format suivant:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
Ici,
PROJECT_NUMBER
est l'identifiant unique du Projet Google Cloud dans lequel vous avez activé l'API Migration Center. Pour en savoir plus sur les numéros de projet, consultez Identifier des projetsPROJECT_ID
: ID du projet dans le périmètre dans lequel vous voulez importer les données.
Vous ne pouvez pas utiliser
ANY_SERVICE_ACCOUNT
et ANY_USER_ACCOUNT
par des URL signées.
Pour en savoir plus, consultez
Autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre.
Activer la collecte de données avec le client de découverte
Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrantes avec la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT
: compte de service que vous utilisée pour créer le client de découverte. Pour en savoir plus, consultez le processus d'installation du client de découverte.PROJECT_ID
: ID du projet dans le périmètre dans lequel vous voulez importer les données.
Limites
Les limites suivantes s'appliquent lorsque vous activez le périmètre de service.
StratoZone
StratoZone n'est pas conforme à VPC Service Controls. Si vous essayez d'activer le Intégration de StratoZone à Migration Center après la création du service vous obtenez une erreur.
Toutefois, si vous avez activé l'intégration StratoZone avant de créer le service vous pouvez toujours accéder à StratoZone et aux données déjà collectées, mais Le centre de migration n'envoie plus de nouvelles données à StratoZone.