Cette page a été traduite par l'API Cloud Translation.

Configurer VPC Service Controls

Cette page présente VPC Service Controls, une fonctionnalité Google Cloud qui s'intègre à AlloyDB pour sécuriser les données et les ressources.

VPC Service Controls permet de limiter le risque d'exfiltration de données des instances AlloyDB. VPC Service Controls vous permet de créer des périmètres de service qui protègent les ressources et les données des services que vous spécifiez explicitement.

Pour obtenir une présentation générale de VPC Service Controls, de ses avantages en termes de sécurité et de ses fonctionnalités dans les produits Google Cloud , consultez Présentation de VPC Service Controls.

Avant de commencer

Dans la console Google Cloud , accédez à la page Sélecteur de projet.

Accéder au sélecteur de projet
Sélectionnez ou créez un projet Google Cloud .
Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu d'en sélectionner un existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.
Assurez-vous que la facturation est activée pour votre projet Google Cloud . Découvrez comment vérifier si la facturation est activée sur un projet.
Activez l'API Compute Engine.
Activer l'API Compute Engine
Activez l'API Service Networking.
Activer l'API Service Networking
Ajoutez les rôles IAM (Identity and Access Management) à l'utilisateur ou au compte de service que vous utilisez pour configurer et administrer VPC Service Controls. Pour en savoir plus, consultez Rôles IAM pour l'administration de VPC Service Controls.
Consultez les limites applicables à l'utilisation de VPC Service Controls avec AlloyDB.

Sécuriser le service AlloyDB à l'aide de VPC Service Controls

Avant de commencer, consultez la présentation de VPC Service Controls et les limites d'AlloyDB lors de l'utilisation de VPC Service Controls.

La configuration de VPC Service Controls pour un projet AlloyDB comprend les étapes suivantes :

Créez et gérez un périmètre de service.

Vous devez d'abord sélectionner le projet AlloyDB que le périmètre de service VPC doit protéger, puis créer et gérer le périmètre de service.
Créer et gérer des niveaux d'accès

Vous pouvez éventuellement utiliser des niveaux d'accès pour autoriser l'accès externe aux ressources protégées d'un périmètre. Les niveaux d'accès ne s'appliquent qu'aux requêtes effectuées depuis l'extérieur du périmètre de service et concernant des ressources protégées. Vous ne pouvez pas utiliser les niveaux d'accès pour autoriser des ressources protégées ou des VM à accéder à des données et des services en dehors du périmètre.

Créer et gérer un périmètre de service

Pour créer et gérer un périmètre de service, procédez comme suit :

Sélectionnez le projet AlloyDB que le périmètre de service VPC doit protéger.
Créez un périmètre de service en suivant les instructions de la section Créer un périmètre de service.
Ajoutez des instances au périmètre de service. Pour ajouter des instances AlloyDB existantes au périmètre, suivez les instructions de la section Mettre à jour un périmètre de service.
Ajoutez des API au périmètre de service. Pour limiter le risque d'exfiltration de données à partir d'AlloyDB, vous devez limiter les API AlloyDB, API Compute Engine, Cloud Storage, API Container Registry, Certificate Authority Service et Cloud KMS. Pour en savoir plus, consultez access-context-manager perimeters update.

Pour ajouter des API en tant que services restreints :
Console
1. Dans la console Google Cloud , accédez à la page VPC Service Controls.
  Accéder à VPC Service Controls
2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
3. Cliquez sur Modifier.
4. Sur la page Modifier le périmètre de service VPC, cliquez sur Ajouter des services.
5. Ajoutez les API AlloyDB, Compute Engine, Cloud Storage, Container Registry, Certificate Authority Service et Cloud KMS.
6. Cliquez sur Enregistrer.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID : ID du périmètre ou identifiant complet du périmètre.
- POLICY_ID : ID de la règle d'accès.
Si vous avez activé les insights améliorés sur les requêtes, ajoutez l'API databaseinsights.googleapis.com au périmètre de service en tant que service restreint :
Console
1. Dans la console Google Cloud , accédez à la page VPC Service Controls.
  Accéder à VPC Service Controls
2. Sur la page VPC Service Controls, dans le tableau, cliquez sur le nom du périmètre de service que vous souhaitez modifier.
3. Cliquez sur Modifier.
4. Sur la page Modifier le périmètre de service VPC, cliquez sur Ajouter des services.
5. Ajoutez databaseinsights.googleapis.com.
6. Cliquez sur Enregistrer.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID : ID du périmètre ou identifiant complet du périmètre.
- POLICY_ID : ID de la règle d'accès.

Créer et gérer des niveaux d'accès

Pour créer et gérer des niveaux d'accès, suivez les instructions de la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.