Los Controles del servicio de VPC te ayudan a reducir el riesgo de copias o transferencias de datos no autorizadas de los servicios administrados por Google.
Con Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de los servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.
Crea un perímetro de servicio
Si deseas crear un perímetro de servicio, sigue la Guía de Controles del servicio de VPC para crear un perímetro de servicio.
Cuando diseñes el perímetro de servicio, incluye los siguientes servicios:
- API del Centro de migraciones (
migrationcenter.googleapis.com) - API de RMA (
rapidmigrationassessment.googleapis.com) - API de Cloud Storage (
storage.googleapis.com) - API de Resource Manager (
cloudresourcemanager.googleapis.com) - API de Cloud Logging (
logging.googleapis.com)
Permitir el tráfico con reglas de transferencia de datos entrantes
De forma predeterminada, el perímetro de servicio está diseñado para evitar la transferencia de datos entrantes desde servicios fuera del perímetro. Si planeas usar la importación de datos para subir datos desde fuera del perímetro o usar el cliente de descubrimiento a fin de recopilar los datos de tu infraestructura, configura reglas de acceso a los datos para permitirlo.
Habilita la importación de datos
Para habilitar la importación de datos, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Reemplaza lo siguiente:
SERVICE_ACCOUNT: Es la cuenta de servicio por producto y por proyecto que usas para subir datos al Centro de migraciones, con el siguiente formato:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Aquí,
PROJECT_NUMBERes el identificador único del proyecto de Google Cloud en el que habilitaste la API del Centro de migraciones. Para obtener más información sobre los números de proyecto, consulta la sección sobre cómo identificar proyectos.PROJECT_ID: El ID del proyecto dentro del perímetro al que deseas subir los datos.
No puedes usar los tipos de identidad ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT con URLs firmadas. Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.
Habilita la recopilación de datos con el cliente de descubrimiento
Para habilitar la recopilación de datos con el cliente de descubrimiento, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Reemplaza lo siguiente:
SERVICE_ACCOUNT: Es la cuenta de servicio que usaste para crear el cliente de descubrimiento. Para obtener más información, revisa el proceso de instalación del cliente de descubrimiento.PROJECT_ID: El ID del proyecto dentro del perímetro al que deseas subir los datos.
Limitaciones
Las siguientes limitaciones se aplican cuando habilitas el perímetro de servicio.
StratoZone
StratoZone no cumple con los Controles del servicio de VPC. Si intentas habilitar la integración de StratoZone con el Centro de migraciones después de crear el perímetro de servicio, recibirás un error.
Sin embargo, si habilitaste la integración de StratoZone antes de crear el perímetro de servicio, aún puedes acceder a StratoZone y los datos que ya se recopilaron, pero el Centro de migraciones no envía datos nuevos a StratoZone.
Cómo exportar informes
No se admite la exportación del informe de precios detallado en el perímetro de servicio.