VPC Service Controls est une fonctionnalité de Google Cloud qui vous permet de configurer un périmètre sécurisé pour vous protéger contre l'exfiltration des données. Ce guide explique comment inclure des tâches Cloud Scheduler dans un périmètre VPC Service Controls.
Limites
L'intégration de Cloud Scheduler avec VPC Service Controls présente les limites suivantes:
- Compatible uniquement avec les cibles Pub/Sub
Ajouter des cibles compatibles à la liste d'autorisation
Recommandé. L'intégration de Cloud Scheduler avec VPC Service Controls n'est compatible qu'avec les tâches comportant des cibles Pub/Sub et génère une erreur en cas de tentative de tâches avec d'autres cibles. Pour empêcher l'exécution de tâches avec d'autres cibles (telles qu'App Engine ou HTTP), les administrateurs de règles d'administration peuvent définir une règle d'administration au niveau du projet, du dossier ou de l'organisation Google Cloud. Pour en savoir plus sur les niveaux des règles d'administration, consultez la page Comprendre le processus d'évaluation hiérarchique.
Les règles que vous avez définies ne sont pas appliquées rétroactivement. En général, les tâches existantes ne sont pas affectées lorsque la valeur de la règle est mise à jour. La seule exception à cette règle concerne les tâches existantes dont le type cible est mis à jour ultérieurement. Si vous mettez à jour le type cible sur une tâche après avoir mis à jour la stratégie pour les types cibles autorisés, la règle est appliquée.
Par défaut, si aucune règle n'est définie, tous les types de cibles sont autorisés. Pour ajouter à la liste d'autorisation uniquement les tâches dont les cibles sont compatibles avec VPC Service Controls, procédez comme suit:
Assurez-vous de disposer des rôles Identity and Access Management (IAM) suivants:
- Administrateur des règles d'administration (
roles.orgpolicy.policyAdmin). Obligatoire pour créer des règles d'administration.
- Administrateur des règles d'administration (
Dans Google Cloud Console, accédez à la page Règles d'administration.
Dans le filtre, saisissez Allowed targets types for jobs (Types de cibles autorisés pour les tâches), puis sélectionnez cette règle pour accéder à sa page d'informations.
Cliquez sur l'icône de modification.
Sous Règles, accédez à Ajouter une règle, puis remplissez les champs comme suit:
- Valeurs de règles :
Custom - Type de règle :
Allow - Valeurs personnalisées:
PUBSUB
- Valeurs de règles :
Cliquez sur OK.
Cliquez sur Save (Enregistrer).
Ajouter les rôles IAM requis
Obligatoire. Pour pouvoir utiliser VPC Service Controls, le compte de service Cloud Scheduler doit disposer du rôle IAM Agent de service Cloud Scheduler. Le compte de service Cloud Scheduler est créé automatiquement pour votre projet. Pour vérifier qu'il dispose du rôle IAM d'agent de service Cloud Scheduler ou pour attribuer ce rôle, procédez comme suit:
Dans Google Cloud Console, accédez à IAM.
Cochez la case Inclure les attributions de rôles fournies par Google.
Dans le filtre, saisissez Compte de service Cloud Scheduler, puis sélectionnez ce compte principal.
Examinez la colonne Rôle du compte principal de compte de service Cloud Scheduler. Vous pouvez continuer si le rôle suivant est indiqué:
- Agent de service Cloud Scheduler
Si le rôle "Compte de service Cloud Scheduler" n'est pas répertorié, cliquez sur l'icône Modifier et accordez le rôle Agent de service Cloud Scheduler au compte principal de compte de service Cloud Scheduler.
Spécifier un périmètre VPC Service Controls
Obligatoire. Vous pouvez utiliser un périmètre existant ou créer un périmètre pour protéger vos tâches Cloud Scheduler ayant des cibles Pub/Sub. Les deux approches vous permettent de spécifier des services à restreindre. Spécifiez l'API Cloud Scheduler.
Périmètres existants:pour mettre à jour un périmètre VPC Service Controls existant afin d'inclure Cloud Scheduler, suivez la procédure permettant de mettre à jour un périmètre de service.
Nouveaux périmètres:pour créer un périmètre pour Cloud Scheduler, suivez la procédure permettant de créer un périmètre de service.