Controlli di servizio VPC è una Google Cloud funzionalità che ti consente di configurare un perimetro sicuro per proteggerti dall'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in un perimetro VPC Service Controls.
Limitazioni
Le seguenti limitazioni si applicano al supporto di Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
Controlli di servizio VPC viene applicato solo alle seguenti azioni:
- Creazione di job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, non vengono applicati automaticamente ai job creati prima di aggiungere Cloud Scheduler al perimetro di VPC Service Controls. I job continuano a essere eseguiti anche se i target non fanno parte del perimetro di Controlli di servizio VPC o non sono target supportati. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- Job con target non supportati o esterni al tuo perimetro: elimina i job. Consulta Eliminare i job non conformi
- Job con target supportati e all'interno del perimetro: esegui un aggiornamento su ogni job dopo aver aggiunto Cloud Scheduler al perimetro. Consulta Applicare ai job esistenti.
Target supportati
L'integrazione di Cloud Scheduler con Controlli di servizio VPC supporta solo i seguenti target:
- Funzioni Cloud Run (nell'URL
functions.net) - Cloud Run (nell'URL
run.appper i servizi Cloud Run). I target dei job Cloud Run non sono supportati. Per scoprire la differenza tra le risorse di servizio e di job per Cloud Run, consulta Servizi e job: due modi per eseguire il codice. - API Dataflow (deve trovarsi nello stesso Google Cloud progetto del job Cloud Scheduler)
- Pipeline di dati (devono trovarsi nello stesso Google Cloud progetto del job Cloud Scheduler)
- Pub/Sub (deve trovarsi nello stesso Google Cloud progetto del job Cloud Scheduler)
Eliminare i job non conformi
Consigliata. Elimina i job Cloud Scheduler con target che sono:
- Non supportato (vedi Target supportati)
- Al di fuori del perimetro di Controlli di servizio VPC che prevedi di utilizzare
Per istruzioni sull'eliminazione dei job, consulta Eliminare un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, i job continuano a essere eseguiti, ma i Controlli di servizio VPC non vengono applicati (vedi Azioni applicate).
Ad esempio, se hai un job Cloud Scheduler che ha come target un obiettivo non supportato (ad esempio un dominio personalizzato Cloud Run), il job continua a funzionare dopo aver aggiunto Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non è protetto da questa funzionalità. Lo stesso vale per un job esistente con un target esterno al perimetro di VPC Service Controls.
Aggiungi i ruoli IAM richiesti
Obbligatorio. Per utilizzare i Controlli di servizio VPC, l'account di servizio Cloud Scheduler deve disporre del ruolo IAM Agente di servizio Cloud Scheduler. L'account di servizio Cloud Scheduler viene creato automaticamente per il tuo progetto. Per verificare che disponga del ruolo IAM Agente di servizio Cloud Scheduler o per concederlo, svolgi i seguenti passaggi:
Nella console Google Cloud, vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Account di servizio Cloud Scheduler e seleziona questo principale.
Controlla la colonna Ruolo per il principale Account di servizio Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Cloud Scheduler Service Agent
Se il ruolo dell'account di servizio Cloud Scheduler non è elencato, fai clic sull'icona Modifica e concedi il ruolo Agente di servizio Cloud Scheduler all'entità dell'account di servizio Cloud Scheduler.
Specificare un perimetro dei Controlli di servizio VPC
Obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler che hanno target supportati. Entrambi gli approcci ti consentono di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti:per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui la procedura per aggiornare un perimetro di servizio.
Nuovi perimetri:per creare un nuovo perimetro per Cloud Scheduler, segui la procedura per creare un perimetro di servizio.
Applicare i Controlli di servizio VPC ai job esistenti
Consigliata. Per applicare i Controlli di servizio VPC ai job Cloud Scheduler
che hai creato prima di aggiungere Cloud Scheduler al perimetro di servizio VPC, esegui un update sul job. Non devi modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC vengano applicati al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento del job dalla Google Cloud console (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o con gcloud CLI.
Per applicare i Controlli di servizio VPC a un job esistente utilizzando gcloud CLI, esegui quanto segue:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del tuo job
Destinazioni Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del tuo job