Configurazione dei Controlli di servizio VPC

Questa pagina descrive come configurare Database Center con i Controlli di servizio VPC, una funzionalità per proteggere dati e risorse. Google Cloud

I Controlli di servizio VPC contribuiscono a mitigare il rischio di esfiltrazione di dati dalle istanze di Database Center. Puoi utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse e i dati dei servizi che specifichi in modo esplicito.

Per una panoramica generale dei Controlli di servizio VPC, dei relativi vantaggi per la sicurezza e delle funzionalità nei prodotti supportati, consulta la sezione Panoramica dei Controlli di servizio VPC.

Prima di iniziare

Prima di iniziare, consulta la panoramica dei Controlli di servizio VPC e le limitazioni di Database Center quando utilizzi i Controlli di servizio VPC. Poi, segui questi passaggi per assicurarti di disporre delle autorizzazioni corrette per utilizzare i Controlli di servizio VPC.

  1. Nella console Google Cloud , vai alla pagina Selettore di progetti.

    Vai al selettore di progetti

  2. Seleziona o crea un Google Cloud progetto.
  3. Verifica che la fatturazione sia abilitata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata per un progetto.
  4. Abilita l'API Compute Engine

    Abilita l'API Compute Engine

  5. Abilita l'API Service Networking.

    Abilita l'API Service Networking

  6. Aggiungi i ruoli Identity and Access Management (IAM) all'utente o al service account che utilizzi per configurare e amministrare i Controlli di servizio VPC. Per saperne di più, consulta Ruoli IAM per amministrare i Controlli di servizio VPC.
  7. Esamina le limitazioni quando utilizzi i Controlli di servizio VPC con Database Center.

Come proteggere il servizio Database Center utilizzando i Controlli di servizio VPC

La configurazione dei Controlli di servizio VPC per il progetto Database Center include i seguenti passaggi:

  1. Crea e gestisci un perimetro di servizio.

    Innanzitutto, seleziona il progetto Database Center che vuoi proteggere con il perimetro di servizio, poi crea e gestisci il perimetro di servizio.

  2. Crea e gestisci i livelli di accesso.

    Se vuoi consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere a risorse o VM protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.

Crea e gestisci un perimetro di servizio

Per creare e gestire un perimetro di servizio, completa i seguenti passaggi:

  1. Seleziona il progetto Database Center che deve essere protetto dal perimetro di servizio.

  2. Crea un perimetro di servizio seguendo le istruzioni riportate in Creazione di un perimetro di servizio.

  3. Aggiungi altre istanze al perimetro di servizio. Per aggiungere istanze Database Center esistenti al perimetro, segui le istruzioni riportate in Aggiornamento di un perimetro di servizio.

  4. Aggiungi API al perimetro di servizio. Per ridurre il rischio di esfiltrazione dei dati da Database Center, devi limitare l'API Database Center, l'API Compute Engine, l'API Cloud Storage, l'API Container Registry, l'API Certificate Authority Service e l'API Cloud KMS. Per saperne di più, vedi access-context-manager perimeters update.

    Per aggiungere API come servizi con limitazioni, completa i seguenti passaggi:

    Console

    1. Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.

      Vai a Controlli di servizio VPC

    2. Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
    3. Fai clic su Modifica.
    4. Nella pagina Modifica perimetro di servizio VPC, fai clic su Aggiungi servizi.
    5. Seleziona Database Center (databasecenter.googleapis.com).
    6. Fai clic su Salva.

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databasecenter.googleapis.com
    • PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetro.
    • POLICY_ID: l'ID della policy di accesso.

Crea e gestisci i livelli di accesso

Per creare e gestire i livelli di accesso, segui le istruzioni riportate in Consentire l'accesso alle risorse protette dall'esterno di un perimetro.