VPC Service Controls für den Data Engineering-Agent konfigurieren

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls so konfigurieren, dass der Data Engineering Agent unterstützt wird. Sie können VPC Service Controls mit dem Data Engineering Agent verwenden, um das Risiko der Daten-Exfiltration zu verringern.

Weitere Informationen zu VPC Service Controls finden Sie unter Überblick über VPC Service Controls.

Beschränkungen

  • Gemini Data Analytics (geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com) und Cloud Storage (storage.googleapis.com) müssen alle innerhalb desselben VPC Service Controls-Dienstperimeters eingeschränkt werden.
  • Die gleichen Einschränkungen, die für Dataform innerhalb eines VPC Service Controls-Perimeters gelten, gelten auch für Gemini Data Analytics. Dazu gehört die Anforderung, die Organisationsrichtlinie dataform.restrictGitRemotes festzulegen. Weitere Informationen finden Sie unter Einschränkungen.

Sicherheitsaspekte

Wenn Sie einen VPC Service Controls-Perimeter für Gemini Data Analytics einrichten, prüfen Sie die Berechtigungen, die Ihren Dienst-Agents und -Konten gewährt wurden, einschließlich Dataform-Dienst-Agents und aller benutzerdefinierten Dienstkonten, um die Übereinstimmung mit Ihrer Sicherheitsarchitektur sicherzustellen. Die Berechtigungen, die diesen Konten gewährt werden, bestimmen ihren Zugriff auf Ressourcen innerhalb des Perimeters.

Hinweis

  • Achten Sie darauf, dass die Nutzer oder Dienstkonten, die Gemini Data Analytics verwenden, die erforderlichen IAM-Berechtigungen haben. Sie können die Rolle roles/geminidataanalytics.dataAgentStatelessUser zuweisen, die die erforderliche Berechtigung geminidataanalytics.locations.useDataEngineeringAgent enthält. Diese IAM-Rollen sind für die Interaktion mit der Gemini Data Analytics API erforderlich, auch wenn Aufrufe innerhalb eines VPC Service Controls-Perimeters erfolgen.
  • Bevor Sie einen VPC Service Controls-Dienstperimeter konfigurieren, müssen Sie die Organisationsrichtlinie dataform.restrictGitRemotes festlegen. Diese Richtlinie sorgt dafür, dass VPC Service Controls Prüfungen erzwingt, wenn Sie Dataform-Funktionen über Gemini Data Analytics verwenden. Weitere Informationen finden Sie unter Remote-Repositories einschränken.

APIs aktivieren

Aktivieren Sie die Gemini Data Analytics-, Dataform- und BigQuery-APIs.

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen.

APIs aktivieren

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen für das Projekt die IAM-Rolle „Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)“ zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von VPC Service Controls-Dienstperimetern benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu VPC Service Controls-Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.

VPC Service Controls konfigurieren

Wenn Sie einen neuen Dienstperimeter erstellen, müssen Sie die folgenden APIs in denselben Dienstperimeter aufnehmen:

  • geminidataanalytics.googleapis.com
  • dataform.googleapis.com
  • bigquery.googleapis.com
  • dataplex.googleapis.com
  • storage.googleapis.com

Wenn Sie einen vorhandenen Dienst haben, können Sie den Dienstperimeter so aktualisieren , dass die drei erforderlichen APIs im selben Dienstperimeter enthalten sind.

Nächste Schritte