Proteger datos con un perímetro de servicio

Controles de Servicio de VPC te ayuda a reducir el riesgo de que se copien o transfieran datos sin autorización de tus servicios gestionados por Google.

Con Controles de Servicio de VPC, puedes configurar perímetros de servicio alrededor de los recursos de tus servicios gestionados por Google y controlar el movimiento de datos a través del límite del perímetro.

Crear un perímetro de servicio

Para crear un perímetro de servicio, siga la guía de Controles de Servicio de VPC para crear un perímetro de servicio.

Cuando diseñes el perímetro de servicio, incluye los siguientes servicios:

  • API Migration Center (migrationcenter.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)

Permitir el tráfico con reglas de transferencia de datos entrantes

De forma predeterminada, el perímetro de servicio está diseñado para evitar la transferencia de datos entrantes desde servicios que se encuentran fuera del perímetro. Si tiene previsto usar la importación de datos para subir datos de fuera del perímetro o usar el cliente de descubrimiento para recoger los datos de su infraestructura, configure reglas de acceso a los datos para permitirlo.

Habilitar la importación de datos

Para habilitar la importación de datos, especifique las reglas de transferencia de datos entrantes con la siguiente sintaxis:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Haz los cambios siguientes:

  • SERVICE_ACCOUNT: la cuenta de servicio por producto y por proyecto que usas para subir datos a Migration Center, con el siguiente formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Aquí PROJECT_NUMBER se muestra el identificador único del proyectoGoogle Cloud en el que has habilitado la API Migration Center. Para obtener más información sobre los números de proyecto, consulta el artículo Identificar proyectos.

  • PROJECT_ID: el ID del proyecto dentro del perímetro al que quieras subir los datos.

No puedes usar los tipos de identidad ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT con URLs firmadas. Para obtener más información, consulta Permitir el acceso a recursos protegidos desde fuera del perímetro.

Habilitar la recogida de datos con el cliente de descubrimiento

Para habilitar la recogida de datos con el cliente de descubrimiento, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Haz los cambios siguientes:

  • SERVICE_ACCOUNT: la cuenta de servicio que has usado para crear el cliente de descubrimiento. Para obtener más información, consulta el proceso de instalación del cliente de descubrimiento.

  • PROJECT_ID: el ID del proyecto dentro del perímetro al que quieras subir los datos.