Protege tus datos con un perímetro de servicio

Los Controles del servicio de VPC te ayudan a reducir el riesgo de copia o transferencia de datos no autorizadas de los servicios administrados por Google.

Con Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de los servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.

Crea un perímetro de servicio

Si deseas crear un perímetro de servicio, sigue la Guía de Controles del servicio de VPC para crear un perímetro de servicio.

Cuando diseñes el perímetro de servicio, incluye los siguientes servicios:

  • API de Migration Center (migrationcenter.googleapis.com)
  • API de ADP (rapidmigrationassessment.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Resource Manager (cloudresourcemanager.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)

Permite el tráfico con reglas de transferencia de datos entrantes

De forma predeterminada, el perímetro de servicio está diseñado para evitar la transferencia de datos entrantes desde servicios fuera del perímetro. Si planeas usar la importación de datos para subir datos desde fuera del perímetro o usar el cliente de descubrimiento para recopilar los datos de tu infraestructura, configura las reglas de acceso a los datos para permitirlo.

Habilita la importación de datos

Para habilitar la importación de datos, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Reemplaza lo siguiente:

  • SERVICE_ACCOUNT: La cuenta de servicio por producto y por proyecto que usas para subir datos a Migration Center, con el siguiente formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Aquí, PROJECT_NUMBER es el identificador único del proyecto de Google Cloud en el que habilitaste la API de Migration Center. Para obtener más información sobre los números de proyecto, consulta Identifica proyectos.

  • PROJECT_ID: Es el ID del proyecto dentro del perímetro al que deseas subir los datos.

No puedes usar los tipos de identidad ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT con URLs firmadas. Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.

Habilita la recopilación de datos con el cliente de descubrimiento

Para habilitar la recopilación de datos con el cliente de descubrimiento, especifica las reglas de transferencia de datos entrantes con la siguiente sintaxis:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Reemplaza lo siguiente:

  • SERVICE_ACCOUNT: Es la cuenta de servicio que usaste para crear el cliente de descubrimiento. Para obtener más información, consulta el proceso de instalación del cliente de descubrimiento.

  • PROJECT_ID: Es el ID del proyecto dentro del perímetro al que deseas subir los datos.

Limitaciones

Se aplican las siguientes limitaciones cuando habilitas el perímetro de servicio.

StratoZone

StratoZone no cumple con los Controles del servicio de VPC. Si intentas habilitar la integración de StratoZone con Migration Center después de crear el perímetro de servicio, recibirás un error.

Sin embargo, si habilitaste la integración de StratoZone antes de crear el perímetro de servicio, podrás acceder a StratoZone y a los datos ya recopilados, pero el Centro de migración no enviará datos nuevos a StratoZone.