Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per evitare l'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in un perimetro dei Controlli di servizio VPC.
Limitazioni
Le seguenti limitazioni si applicano al supporto dei Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
Controlli di servizio VPC viene applicato solo alle seguenti azioni:
- Creazione job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, i Controlli di servizio VPC non vengono applicati automaticamente ai job creati prima dell'aggiunta di Cloud Scheduler al perimetro dei Controlli di servizio VPC. I job continuano a essere eseguiti anche se le destinazioni dei job non fanno parte del perimetro dei Controlli di servizio VPC o non sono destinazioni supportate. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- Job con target non supportati o al di fuori del perimetro: elimina i job. Consulta Eliminare i job non conformi.
- Job con destinazioni supportate e all'interno del perimetro: esegui un aggiornamento per ogni job dopo aver aggiunto Cloud Scheduler al perimetro. Vedi Applica sui job preesistenti.
Target supportati
L'integrazione di Cloud Scheduler con i Controlli di servizio VPC supporta solo le seguenti destinazioni:
- Cloud Functions (nell'URL
functions.net) - Cloud Run (nell'URL
run.appper i servizi Cloud Run. I target dei job Cloud Run non sono supportati. Per scoprire la differenza tra le risorse di servizio e job per Cloud Run, vedi Servizi e job: due modi per eseguire il codice.) - API Dataflow (deve essere nello stesso progetto Google Cloud del job Cloud Scheduler)
- Pipeline di dati (devono essere nello stesso progetto Google Cloud del job Cloud Scheduler)
- Pub/Sub (deve essere nello stesso progetto Google Cloud del job Cloud Scheduler)
Elimina job non conformi
Consigliato. Elimina i job Cloud Scheduler con destinazioni:
- Non supportato (vedi Target supportati)
- Al di fuori del perimetro dei Controlli di servizio VPC che intendi utilizzare
Per istruzioni sull'eliminazione dei job, consulta Eliminare un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, i job continueranno a essere eseguiti, ma i Controlli di servizio VPC non verranno applicati (consulta la sezione Azioni applicate).
Ad esempio, se hai un job Cloud Scheduler che ha come target una destinazione non supportata (come un dominio personalizzato Cloud Run), il job continuerà a essere eseguito dopo l'aggiunta di Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non sarà protetto dai Controlli di servizio VPC. Lo stesso vale per un job preesistente con una destinazione esterna al perimetro dei Controlli di servizio VPC.
Aggiungi ruoli IAM richiesti
obbligatorio. Per utilizzare Controlli di servizio VPC, l'account di servizio Cloud Scheduler deve avere il ruolo IAM Agente di servizio Cloud Scheduler. L'account di servizio Cloud Scheduler viene creato automaticamente per il progetto. Per verificare che disponga del ruolo IAM Agente di servizio Cloud Scheduler o per concedere questo ruolo, segui questi passaggi:
Nella console Google Cloud, vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Account di servizio Cloud Scheduler e seleziona questa entità.
Esamina la colonna Ruolo per l'entità Account di servizio Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Agente di servizio Cloud Scheduler
Se il ruolo Account di servizio Cloud Scheduler non è presente nell'elenco, fai clic sull'icona Modifica e concedi il ruolo Agente di servizio Cloud Scheduler all'entità account di servizio Cloud Scheduler.
Specifica un perimetro dei Controlli di servizio VPC
obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler con target supportati. Entrambi gli approcci offrono la possibilità di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti: per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui la procedura per aggiornare un perimetro di servizio.
Nuovi perimetri: per creare un nuovo perimetro per Cloud Scheduler, segui i passaggi per creare un perimetro di servizio.
Applica i Controlli di servizio VPC ai job preesistenti
Consigliato. Per applicare i Controlli di servizio VPC ai job Cloud Scheduler creati prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, esegui un update sul job. Non è necessario modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC vengano applicati al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento del job dalla console Google Cloud (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o gcloud CLI.
Per applicare i Controlli di servizio VPC a un job preesistente utilizzando gcloud CLI, esegui questo comando:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job
Target Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job