VPC Service Controls vous aide à réduire le risque de copie ou de transfert non autorisé de données à partir de vos services gérés par Google.
Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.
Créer un périmètre de service
Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.
Lorsque vous concevez le périmètre de service, incluez les services suivants:
- API du centre de migration (
migrationcenter.googleapis.com) - API RMA (
rapidmigrationassessment.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Resource Manager (
cloudresourcemanager.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Autoriser le trafic avec des règles de transfert de données entrantes
Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrant à partir de services situés en dehors du périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données depuis l'extérieur du périmètre ou le client de découverte pour collecter vos données d'infrastructure, configurez les règles d'accès aux données pour autoriser cette opération.
Activer l'importation de données
Pour activer l'importation de données, spécifiez les règles de transfert de données entrantes à l'aide de la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: compte de service associé à un produit et à un projet que vous utilisez pour importer des données dans le centre de migration, au format suivant :service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Ici,
PROJECT_NUMBERcorrespond à l'identifiant unique du projet Google Cloud dans lequel vous avez activé l'API du centre de migration. Pour en savoir plus sur les numéros de projet, consultez la section Identifier des projets.PROJECT_ID: ID du projet situé dans le périmètre dans lequel vous souhaitez importer les données.
Vous ne pouvez pas utiliser les types d'identité ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT avec des URL signées. Pour en savoir plus, consultez Autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre.
Activer la collecte de données avec le client de découverte
Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrantes avec la syntaxe suivante:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Remplacez les éléments suivants :
SERVICE_ACCOUNT: compte de service que vous avez utilisé pour créer le client de découverte. Pour en savoir plus, consultez le processus d'installation du client de découverte.PROJECT_ID: ID du projet situé dans le périmètre dans lequel vous souhaitez importer les données.
Limites
Les limites suivantes s'appliquent lorsque vous activez le périmètre de service.
StratoZone
StratoZone n'est pas conforme à VPC Service Controls. Si vous essayez d'activer l'intégration StratoZone avec le centre de migration après avoir créé le périmètre de service, vous recevez un message d'erreur.
Toutefois, si vous avez activé l'intégration StratoZone avant de créer le périmètre de service, vous pouvez toujours accéder à StratoZone et aux données déjà collectées, mais le centre de migration n'envoie aucune nouvelle donnée à StratoZone.
Exportation de rapports
L'exportation du rapport détaillé sur les tarifs n'est pas possible dans le périmètre de service.