Esta página foi traduzida pela API Cloud Translation.

Suporte do VPC Service Controls para o Looker (Google Cloud Core)

Os VPC Service Controls podem melhorar sua capacidade de reduzir o risco de exfiltração de dados dos Google Cloud serviços. É possível usar o VPC Service Controls para criar perímetros de serviço que ajudam a proteger os recursos e os dados dos serviços especificados explicitamente.

Para adicionar o serviço Looker (Google Cloud Core) a um perímetro de serviço do VPC Service Controls, siga as instruções sobre como criar um perímetro de serviço na página de documentação Criar um perímetro de serviço e selecione API Looker (Google Cloud Core) na caixa de diálogo Especificar serviços a serem restritos. Para saber mais sobre o uso do VPC Service Controls, acesse a página de documentação Visão geral do VPC Service Controls.

O VPC Service Controls oferece suporte a instâncias do Looker (Google Cloud Core) que atendem a dois critérios:

As edições de instância precisam ser Enterprise ou Embed.
As configurações de rede da instância precisam usar apenas IPs particulares.

Funções exigidas

Para entender os papéis do IAM necessários para configurar o VPC Service Controls, acesse a página Controle de acesso com o IAM da documentação do VPC Service Controls.

Como remover a rota padrão

Quando uma instância do Looker (Google Cloud Core) é criada em um Google Cloud projeto que está em um perímetro do VPC Service Controls ou em um projeto adicionado a um perímetro do VPC Service Controls, é necessário remover a rota padrão para a Internet.

Para remover a rota padrão para a Internet, selecione uma das seguintes opções:

gcloud

gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com

Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud Core).

Para mais informações, acesse a página de documentação gcloud services vpc-peerings enable-vpc-service-controls.

REST

Método HTTP e URL:

PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls

Solicitar corpo JSON:

{
"consumerNetwork": NETWORK
}

Substitua NETWORK pela rede VPC da sua instância do Looker (Google Cloud Core).

Para mais informações, acesse a página de documentação Método: services.enableVpcServiceControls.

Conectar-se a recursos ou serviços fora do perímetro do VPC Service Controls

Para se conectar a outro recurso ou serviço Google Cloud , talvez seja necessário configurar regras de entrada e saída se o projeto em que o recurso está localizado estiver fora do perímetro do VPC Service Controls.

Para informações sobre como acessar outros recursos externos, siga as instruções para o tipo de recurso que você quer conectar na página de documentação Acessar serviços externos usando o acesso a serviços particulares ou Acesso de saída do Looker (núcleo do Google Cloud) a serviços externos usando o Private Service Connect (dependendo se a sua instância usa o acesso a serviços particulares ou o Private Service Connect).

Como adicionar chaves CMEK a um perímetro

Às vezes, uma instância do Looker (Google Cloud Core) ativada com chaves de criptografia gerenciadas pelo cliente (CMEK) tem a chave do Cloud KMS hospedada em um projeto Google Cloud diferente. Para esse cenário, quando você ativar o VPC Service Controls, é preciso adicionar o projeto de hospedagem de chave KMS ao perímetro de segurança.