Nesta página, descrevemos como configurar o Database Center com o VPC Service Controls, um recurso do Google Cloud para proteger dados e recursos.
O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados das instâncias do Database Center. É possível usar o VPC Service Controls para criar perímetros de serviço que protejam os recursos e os dados de serviços especificados explicitamente.
Para uma visão geral do VPC Service Controls, dos benefícios de segurança e dos recursos em produtos compatíveis, consulte Visão geral do VPC Service Controls.
Antes de começar
Antes de começar, leia a Visão geral do VPC Service Controls e as Limitações do Central de banco de dados ao usar o VPC Service Controls. Em seguida, siga estas etapas para garantir que você tenha as permissões corretas para usar o VPC Service Controls.
No console do Google Cloud , acesse a página Seletor de projetos.
- Selecione ou crie um projeto Google Cloud .
- Verifique se o faturamento foi ativado para o projeto Google Cloud . Saiba como verificar se o faturamento está ativado em um projeto.
- Ative a API Compute Engine.
- Ative a API Service Networking.
- Adicione os papéis do Identity and Access Management (IAM) à conta de usuário ou serviço que você está usando para configurar e administrar o VPC Service Controls. Para mais informações, consulte Papéis do IAM para administrar o VPC Service Controls.
- Analise as limitações ao usar o VPC Service Controls com o Central de banco de dados.
Como proteger o serviço do Database Center usando o VPC Service Controls
A configuração do VPC Service Controls para o projeto do Database Center inclui as seguintes etapas:
Criar e gerenciar um perímetro de serviço.
Primeiro, selecione o projeto do Central de banco de dados que você quer que o perímetro de serviço proteja. Depois, crie e gerencie o perímetro de serviço.
Criar e gerenciar níveis de acesso.
Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar níveis de acesso para conceder a recursos protegidos ou VMs permissão para acessar dados e serviços fora do perímetro.
Criar e gerenciar um perímetro de serviço
Para criar e gerenciar um perímetro de serviço, siga estas etapas:
Selecione o projeto do Central de banco de dados que você quer proteger com o perímetro de serviço.
Crie um perímetro de serviço seguindo as instruções em Como criar um perímetro de serviço.
Adicione mais instâncias ao perímetro de serviço. Para adicionar instâncias do Central de banco de dados ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicione APIs ao perímetro de serviço. Para reduzir o risco de seus dados serem extraídos do Central de banco de dados, restrinja a API Central de banco de dados, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS. Para obter mais informações, consulte
access-context-manager perimeters update.Para adicionar APIs como serviços restritos, siga estas etapas:
Console
- No console do Google Cloud , acesse a página VPC Service Controls.
- Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
- Clique em Editar.
- Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
- Selecione Database Center (
databasecenter.googleapis.com). - Clique em Salvar.
gcloud
gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=databasecenter.googleapis.com
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.
Criar e gerenciar níveis de acesso
Para criar e gerenciar níveis de acesso, siga as instruções em Como permitir o acesso a recursos protegidos de fora de um perímetro.