Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Questa pagina fornisce una panoramica dei Controlli di servizio VPC, una funzionalità che si integra con AlloyDB per proteggere dati e risorse. Google Cloud

Controlli di servizio VPC contribuisce a mitigare il rischio di esfiltrazione di dati dalle istanze AlloyDB. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse e i dati dei servizi che specifichi esplicitamente.

Per una panoramica generale dei Controlli di servizio VPC, dei relativi vantaggi in termini di sicurezza e delle relative funzionalità nei prodotti Google Cloud , consulta la sezione Panoramica dei Controlli di servizio VPC.

Prima di iniziare

Nella console Google Cloud , vai alla pagina Selettore progetti.

Vai al selettore dei progetti
Seleziona o crea un Google Cloud progetto.
Nota: se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno già esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le risorse associate.
Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata per un progetto.
Abilita l'API Compute Engine
Abilita l'API Compute Engine
Abilita l'API Service Networking.
Abilita l'API Service Networking
Aggiungi i ruoli Identity and Access Management (IAM) all'utente o al service account che utilizzi per configurare e amministrare i Controlli di servizio VPC. Per maggiori informazioni, consulta Ruoli IAM per amministrare i Controlli di servizio VPC.
Esamina le limitazioni quando utilizzi Controlli di servizio VPC con AlloyDB.

Come proteggere il servizio AlloyDB utilizzando i Controlli di servizio VPC

Prima di iniziare, consulta la panoramica dei Controlli di servizio VPC e le limitazioni di AlloyDB quando utilizzi i Controlli di servizio VPC.

La configurazione dei Controlli di servizio VPC per un progetto AlloyDB include i seguenti passaggi:

Crea e gestisci un perimetro di servizio.

Innanzitutto, seleziona il progetto AlloyDB che vuoi proteggere con il perimetro di servizio VPC, poi crea e gestisci il perimetro di servizio.
Creare e gestire i livelli di accesso.

Se vuoi consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere a risorse o VM protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.

Creare e gestire un perimetro di servizio

Per creare e gestire un perimetro di servizio:

Seleziona il progetto AlloyDB che deve essere protetto dal perimetro di servizio VPC.
Crea un perimetro di servizio seguendo le istruzioni riportate in Creazione di un perimetro di servizio.
Aggiungi altre istanze al perimetro di servizio. Per aggiungere le istanze AlloyDB esistenti al perimetro, segui le istruzioni riportate in Aggiornamento di un perimetro di servizio.
Aggiungi API al perimetro di servizio. Per ridurre il rischio di esfiltrazione dei dati da AlloyDB, devi limitare l'API AlloyDB, l'API Compute Engine, l'API Cloud Storage, l'API Container Registry, l'API Certificate Authority Service e l'API Cloud KMS. Per ulteriori informazioni, vedi Aggiornamento dei perimetri di Gestore contesto accesso.

Per aggiungere API come servizi limitati:
Console
1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.
  Vai a Controlli di servizio VPC
2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
3. Fai clic su Modifica.
4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
5. Aggiungi API AlloyDB, API Compute Engine, API Cloud Storage, API Container Registry, API Certificate Authority Service e API Cloud KMS.
6. Fai clic su Salva.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: L'ID del perimetro o l'identificatore completo del perimetro.
- POLICY_ID: l'ID della policy di accesso.
Se hai attivato le informazioni avanzate sulle query, aggiungi l'API databaseinsights.googleapis.com al perimetro di servizio come servizio con limitazioni:
Console
1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.
  Vai a Controlli di servizio VPC
2. Nella pagina Controlli di servizio VPC, nella tabella, fai clic sul nome del perimetro di servizio che vuoi modificare.
3. Fai clic su Modifica.
4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
5. Aggiungi databaseinsights.googleapis.com.
6. Fai clic su Salva.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: L'ID del perimetro o l'identificatore completo del perimetro.
- POLICY_ID: l'ID della policy di accesso.

Creare e gestire livelli di accesso

Per creare e gestire i livelli di accesso, segui le istruzioni riportate in Consentire l'accesso a risorse protette dall'esterno di un perimetro.