Proteger seus dados com um perímetro de serviço

O VPC Service Controls ajuda a reduzir o risco de cópia ou transferência não autorizada de dados dos serviços gerenciados pelo Google.

Com VPC Service Controls, é possível configurar os perímetros de serviço em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados em todo o limite do perímetro.

Criar um perímetro de serviço

Para criar um perímetro de serviço, siga o Guia do VPC Service Controls para criar um perímetro de serviço.

Ao projetar o perímetro de serviço, inclua os seguintes serviços:

  • API Migration Center (migrationcenter.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Resource Manager (cloudresourcemanager.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Permitir tráfego com regras de transferência de dados de entrada

Por padrão, o perímetro de serviço foi projetado para impedir a transferência de dados de entrada de serviços fora do perímetro. Se você planeja usar a importação de dados para fazer upload de dados de fora do perímetro ou usar o discovery client para coletar dados de infraestrutura, configure regras de acesso a dados para permitir isso.

Ativar a importação de dados

Para ativar a importação de dados, especifique as regras de transferência de dados de entrada usando a seguinte sintaxe:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

Substitua:

  • SERVICE_ACCOUNT: a conta de serviço por produto e por projeto que você usa para fazer upload de dados no Migration Center, com o seguinte formato: service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.

    Aqui, PROJECT_NUMBER é o identificador exclusivo do projetoGoogle Cloud em que você ativou a API Migration Center. Para mais informações sobre números de projeto, consulte Como identificar projetos.

  • PROJECT_ID: o ID do projeto dentro do perímetro em que você quer fazer upload dos dados.

Não é possível usar os tipos de identidade ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT com URLs assinados. Para mais informações, consulte Permitir acesso a recursos protegidos de fora do perímetro.

Ativar a coleta de dados com o discovery client

Para ativar a coleta de dados com o discovery client, especifique as regras de transferência de dados de entrada com a seguinte sintaxe:

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

Substitua:

  • SERVICE_ACCOUNT: a conta de serviço que você usou para criar o cliente de descoberta. Para mais informações, consulte o processo de instalação do cliente de descoberta.

  • PROJECT_ID: o ID do projeto dentro do perímetro em que você quer fazer upload dos dados.