Proteggi i tuoi dati con un perimetro di servizio

I Controlli di servizio VPC ti aiutano a ridurre il rischio di copia o trasferimento non autorizzato di dati dai tuoi servizi gestiti da Google.

Con i Controlli di servizio VPC, puoi configurare i perimetri di servizio intorno alle risorse dei servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.

Crea un perimetro di servizio

Per creare un perimetro di servizio, segui la guida alla creazione di un perimetro di servizio dei Controlli di servizio VPC.

Quando progetti il perimetro di servizio, includi i seguenti servizi:

  • API Migration Center (migrationcenter.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Consenti il traffico con regole di trasferimento dei dati in entrata

Per impostazione predefinita, il perimetro di servizio è progettato per impedire il trasferimento di dati in entrata dai servizi al di fuori del perimetro. Se prevedi di utilizzare l'importazione dati per caricare dati esterni al perimetro o di utilizzare il client predittivo per raccogliere i dati dell'infrastruttura, configura le regole di accesso ai dati per consentirlo.

Attivare l'importazione dei dati

Per attivare l'importazione dei dati, specifica le regole di trasferimento dei dati in entrata utilizzando la seguente sintassi:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Sostituisci quanto segue:

  • SERVICE_ACCOUNT: l'account di servizio per prodotto e progetto che utilizzi per caricare i dati in Migration Center, con il seguente formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Qui PROJECT_NUMBER è l'identificatore univoco del progettoGoogle Cloud in cui hai abilitato l'API Migration Center. Per ulteriori informazioni sui numeri di progetto, vedi Identificazione dei progetti.

  • PROJECT_ID: l'ID del progetto all'interno del perimetro in cui vuoi caricare i dati.

Non puoi utilizzare i tipi di identità ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT con gli URL firmati. Per saperne di più, consulta Consentire l'accesso alle risorse protette dall'esterno del perimetro.

Attivare la raccolta dei dati con il client predittivo

Per attivare la raccolta dei dati con il client predittivo, specifica le regole di trasferimento dei dati in entrata con la seguente sintassi:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Sostituisci quanto segue:

  • SERVICE_ACCOUNT: il account di servizio che hai utilizzato per creare il client di rilevamento. Per ulteriori informazioni, consulta la procedura di installazione del client predittivo.

  • PROJECT_ID: l'ID del progetto all'interno del perimetro in cui vuoi caricare i dati.