Proteggi i tuoi dati con un perimetro di servizio

I Controlli di servizio VPC ti aiutano a ridurre il rischio di copia o trasferimento non autorizzato di dati dai tuoi servizi gestiti da Google.

Con i Controlli di servizio VPC, puoi configurare perimetri di servizio attorno alle risorse dei tuoi servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.

Crea un perimetro di servizio

Per creare un perimetro di servizio, segui la guida ai Controlli di servizio VPC per la creazione di un perimetro di servizio.

Quando progetti il perimetro di servizio, includi i seguenti servizi:

  • API Migration Center (migrationcenter.googleapis.com)
  • API RMA (rapidmigrationassessment.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Consentire il traffico con regole di trasferimento di dati in entrata

Per impostazione predefinita, il perimetro di servizio è progettato per impedire il trasferimento di dati in entrata da servizi esterni al perimetro. Se prevedi di utilizzare l'importazione dati per caricare dati dall'esterno del perimetro o di utilizzare il client di discovery per raccogliere i dati dell'infrastruttura, configura le regole di accesso ai dati per consentire questa operazione.

Attivare l'importazione dei dati

Per attivare l'importazione dei dati, specifica le regole di trasferimento dei dati in entrata utilizzando la seguente sintassi:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Sostituisci quanto segue:

  • SERVICE_ACCOUNT: l'account servizio per prodotto e progetto che utilizzi per caricare i dati in Migration Center, con il seguente formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Qui PROJECT_NUMBER è l'identificatore univoco del progetto Google Cloud in cui hai attivato l'API del Centro di migrazione. Per ulteriori informazioni sui numeri di progetto, consulta Identificazione dei progetti.

  • PROJECT_ID: l'ID del progetto all'interno del perimetro su cui vuoi caricare i dati.

Non puoi utilizzare i tipi di identità ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT con gli URL firmati. Per ulteriori informazioni, consulta Consentire l'accesso alle risorse protette dall'esterno del perimetro.

Attivare la raccolta dei dati con il cliente predittivo

Per attivare la raccolta dei dati con il client di rilevamento, specifica le regole di trasferimento dei dati in entrata con la seguente sintassi:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Sostituisci quanto segue:

  • SERVICE_ACCOUNT: l'account di servizio utilizzato per creare il client di discovery. Per ulteriori informazioni, consulta la procedura di installazione del client predittivo.

  • PROJECT_ID: l'ID del progetto all'interno del perimetro su cui vuoi caricare i dati.

Limitazioni

Quando attivi il perimetro di servizio, si applicano le seguenti limitazioni.

StratoZone

StratoZone non è conforme ai Controlli di servizio VPC. Se provi ad attivare l'integrazione di StratoZone con Migration Center dopo aver creato il perimetro del servizio, viene visualizzato un errore.

Tuttavia, se hai attivato l'integrazione di StratoZone prima di creare il perimetro del servizio, puoi comunque accedere a StratoZone e ai dati già raccolti, ma Migration Center non invia nuovi dati a StratoZone.