Sécuriser vos données avec un périmètre de service

VPC Service Controls vous aide à réduire le risque de copie ou de transfert non autorisé de données à partir de vos services gérés par Google.

Cette solution vous permet de configurer des périmètres de service autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites des périmètres.

Créer un périmètre de service

Pour créer un périmètre de service, suivez le guide VPC Service Controls pour créer un périmètre de service.

Lorsque vous concevez le périmètre de service, incluez les services suivants :

  • API Migration Center (migrationcenter.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Autoriser le trafic avec des règles de transfert de données entrantes

Par défaut, le périmètre de service est conçu pour empêcher le transfert de données entrantes depuis des services situés en dehors du périmètre. Si vous prévoyez d'utiliser l'importation de données pour importer des données provenant de l'extérieur du périmètre ou d'utiliser le client de découverte pour collecter les données de votre infrastructure, configurez des règles d'accès aux données pour l'autoriser.

Activer l'importation de données

Pour activer l'importation de données, spécifiez les règles de transfert de données entrantes à l'aide de la syntaxe suivante :

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Remplacez les éléments suivants :

  • SERVICE_ACCOUNT : compte de service par produit et par projet que vous utilisez pour importer des données dans le Centre de migration, au format suivant : service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Ici, PROJECT_NUMBER est l'identifiant unique du projetGoogle Cloud dans lequel vous avez activé l'API Migration Center. Pour en savoir plus sur les numéros de projet, consultez Identifier des projets.

  • PROJECT_ID : ID du projet dans le périmètre dans lequel vous souhaitez importer les données.

Vous ne pouvez pas utiliser les types d'identité ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT avec des URL signées. Pour en savoir plus, consultez Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.

Activer la collecte de données avec le client de découverte

Pour activer la collecte de données avec le client de découverte, spécifiez les règles de transfert de données entrantes avec la syntaxe suivante :

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Remplacez les éléments suivants :

  • SERVICE_ACCOUNT : compte de service que vous avez utilisé pour créer le client Discovery. Pour en savoir plus, consultez la procédure d'installation du client de découverte.

  • PROJECT_ID : ID du projet dans le périmètre dans lequel vous souhaitez importer les données.