O VPC Service Controls é um Google Cloud recurso em que é possível configurar um perímetro seguro para evitar a exfiltração de dados. Neste guia, mostramos como incluir jobs do Cloud Scheduler em um perímetro do VPC Service Controls.
Limitações
As limitações a seguir se aplicam ao suporte do VPC Service Controls para o Cloud Scheduler.
Ações aplicadas
O VPC Service Controls é aplicado apenas nas seguintes ações:
- Criação de job do Cloud Scheduler
- Atualizações de jobs do Cloud Scheduler
Por que isso é importante?
Como o VPC Service Controls só é aplicado na criação e atualização de jobs, ele não é aplicado automaticamente a jobs criados antes de você adicionar o Cloud Scheduler ao perímetro do VPC Service Controls. Os jobs continuam sendo executados mesmo que os destinos não façam parte do perímetro do VPC Service Controls ou não sejam destinos compatíveis. Para aplicar o VPC Service Controls a todos os jobs do Cloud Scheduler:
- Vagas com segmentações não aceitas ou fora do seu perímetro:exclua as vagas. Neste documento, consulte Excluir jobs não compatíveis.
- Jobs com destinos compatíveis e dentro do seu perímetro:execute uma atualização em cada job depois de adicionar o Cloud Scheduler ao seu perímetro. Neste documento, consulte Aplicar o VPC Service Controls a jobs preexistentes.
Destinos com suporte
A integração do Cloud Scheduler com o VPC Service Controls é compatível com os seguintes destinos. Os endpoints HTTP são compatíveis se estiverem listados. No entanto, endpoints HTTP arbitrários não são compatíveis.
- Funções do Cloud Run no URL
functions.net - Cloud Run: no URL
run.apppara serviços do Cloud Run. Os destinos de jobs do Cloud Run não são compatíveis. Para saber a diferença entre os recursos de serviço e job do Cloud Run, consulte Serviços e jobs: duas maneiras de executar seu código. - API Dataflow: precisa estar no mesmo projeto Google Cloud que o job do Cloud Scheduler
- Data pipelines: precisam estar no mesmo projeto Google Cloud que o job do Cloud Scheduler
- Pub/Sub: precisa estar no mesmo projeto Google Cloud que o job do Cloud Scheduler
Excluir jobs que não estão em compliance
Recomendado. Excluir jobs do Cloud Scheduler com destinos que são:
- Não compatível (consulte Segmentações que oferecem suporte)
- Fora do perímetro do VPC Service Controls que você planeja usar
Para instruções sobre como excluir jobs, consulte Excluir um job.
Se você não excluir esses jobs antes de adicionar o Cloud Scheduler ao perímetro do VPC Service Controls, eles vão continuar sendo executados, mas o VPC Service Controls não será aplicado a eles. Neste documento, consulte Ações aplicadas.
Por exemplo, se você tiver um job do Cloud Scheduler que tenha como destino um destino não compatível (como um domínio personalizado do Cloud Run), o job vai continuar sendo executado depois que você adicionar o Cloud Scheduler ao seu perímetro do VPC Service Controls, mas não será protegido por ele. O mesmo vale para um job preexistente com uma meta fora do perímetro do VPC Service Controls.
Adicionar os papéis do IAM necessários
Obrigatório. Para usar o VPC Service Controls, a conta de serviço do Cloud Scheduler precisa ter o papel do IAM Agente de serviço do Cloud Scheduler. A conta de serviço do Cloud Scheduler é criada automaticamente para seu projeto. Para verificar se ele tem o papel do IAM de agente de serviço do Cloud Scheduler ou para conceder esse papel, siga estas etapas:
No console do Google Cloud , acesse IAM.
Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
No filtro, digite Conta de serviço do Cloud Scheduler e selecione esse principal.
Procure a coluna Papel do principal Conta de serviço do Cloud Scheduler. Você pode continuar se o seguinte papel estiver listado:
- Agente de serviço do Cloud Scheduler
Se o papel da conta de serviço do Cloud Scheduler não estiver listado, clique no ícone Editar e conceda o papel Agente de serviço do Cloud Scheduler ao principal da conta de serviço do Cloud Scheduler.
Especificar um perímetro do VPC Service Controls
Obrigatório. É possível usar um perímetro atual ou criar um novo para proteger seus jobs do Cloud Scheduler que têm destinos compatíveis. As duas abordagens permitem especificar serviços a serem restringidos. Especifique a API Cloud Scheduler.
Perímetros atuais:para atualizar um perímetro do VPC Service Controls e incluir o Cloud Scheduler, siga as etapas para atualizar um perímetro de serviço.
Novos perímetros:para criar um perímetro para o Cloud Scheduler, siga as etapas para criar um perímetro de serviço.
Aplicar o VPC Service Controls a jobs preexistentes
Recomendado. Para aplicar o VPC Service Controls a jobs do Cloud Scheduler
criados antes de adicionar o Cloud Scheduler ao perímetro do
VPC Service Controls, execute um update no job. Não é necessário
mudar o job, mas é preciso executar a atualização para que o VPC Service Controls seja
aplicado ao job e às execuções futuras dele.
É possível executar uma atualização do job no console Google Cloud (selecione o job e use o botão Editar), usando a API ou com a CLI gcloud.
Para aplicar o VPC Service Controls a um job preexistente usando a CLI gcloud, execute o seguinte comando:
Destinos HTTP
gcloud scheduler jobs update http JOB_ID
Substitua:
JOB_ID: o ID do job
Destinos do Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Substitua:
JOB_ID: o ID do job