Los Controles del servicio de VPC te ayudan a reducir el riesgo de copia o transferencia de datos no autorizadas de los servicios administrados por Google.
Con Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de los servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.
Crea un perímetro de servicio
Si deseas crear un perímetro de servicio, sigue la Guía de Controles del servicio de VPC para crear un perímetro de servicio.
Cuando diseñes el perímetro de servicio, incluye los siguientes servicios:
- API de Migration Center (
migrationcenter.googleapis.com) - API de RMA (
rapidmigrationassessment.googleapis.com) - API de Cloud Storage (
storage.googleapis.com) - API de Resource Manager (
cloudresourcemanager.googleapis.com) - API de Cloud Logging (
logging.googleapis.com)
Permite el tráfico con reglas de transferencia de datos entrante
De forma predeterminada, el perímetro de servicio está diseñado para evitar la transferencia de datos entrantes desde servicios fuera del perímetro. Si planeas usar la importación de datos para subir datos desde fuera del perímetro, o usar el cliente de descubrimiento para recopilar datos de tu infraestructura y configurar reglas de acceso a los datos para permitir esto.
Habilita la importación de datos
Para habilitar la importación de datos, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Reemplaza lo siguiente:
SERVICE_ACCOUNT: La cuenta de servicio por producto y por proyecto que usas para subir datos a Migration Center, con el siguiente formato:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Aquí,
PROJECT_NUMBERes el identificador único del Proyecto de Google Cloud en el que habilitaste la API de Migration Center. Para obtener más información sobre los números de proyecto, consulta Identifica proyectosPROJECT_ID: Es el ID del proyecto dentro del perímetro al que deseas subir los datos.
No puedes usar
ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT
tipos de identidad con URLs firmadas.
Para obtener más información, consulta
Permitir el acceso a recursos protegidos desde fuera del perímetro.
Habilitar la recopilación de datos con el cliente de descubrimiento
Para habilitar la recopilación de datos con el cliente de descubrimiento, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Reemplaza lo siguiente:
SERVICE_ACCOUNT: Es la cuenta de servicio que usaste para crear el cliente de descubrimiento. Para obtener más información, revisa el proceso de instalación del cliente de descubrimientoPROJECT_ID: Es el ID del proyecto dentro del perímetro al que deseas subir los datos.
Limitaciones
Se aplican las siguientes limitaciones cuando habilitas el perímetro de servicio.
StratoZone
StratoZone no cumple con los Controles del servicio de VPC. Si intentas habilitar Integración de StratoZone con Migration Center después de crear el servicio perímetro, recibirás un error.
Sin embargo, si habilitaste la integración de StratoZone antes de crear el perímetro de servicio, podrás acceder a StratoZone y a los datos ya recopilados, pero el Centro de migración no enviará datos nuevos a StratoZone.