Configura los Controles del servicio de VPC para el agente de Data Engineering

En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir el agente de ingeniería de datos. Puedes usar los Controles del servicio de VPC con el agente de ingeniería de datos para mitigar el riesgo de robo de datos.

Consulta Descripción general de los Controles del servicio de VPC para obtener más información sobre estos.

Limitaciones

  • Gemini Data Analytics (geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com) y Cloud Storage (storage.googleapis.com) deben estar restringidos dentro del mismo perímetro de servicio de los Controles del servicio de VPC.
  • Las mismas limitaciones que se aplican a Dataform dentro de un perímetro de los Controles del servicio de VPC también se aplican cuando se usa Gemini Data Analytics. Esto incluye el requisito de configurar la política de la organización dataform.restrictGitRemotes. Para obtener más información, consulta Limitaciones.

Consideraciones de seguridad

Cuando configures un perímetro de los Controles del servicio de VPC para Gemini Data Analytics, revisa los permisos otorgados a tus agentes y cuentas de servicio, incluidos los agentes de servicio de Dataform y cualquier cuenta de servicio personalizada, para garantizar la alineación con tu arquitectura de seguridad. Los permisos otorgados a estas cuentas determinan su acceso a los recursos dentro del perímetro.

Antes de comenzar

  • Asegúrate de que los usuarios o las cuentas de servicio que usan Gemini Data Analytics tengan los permisos de IAM necesarios. Puedes otorgar el rol roles/geminidataanalytics.dataAgentStatelessUser, que incluye el permiso obligatorio geminidataanalytics.locations.useDataEngineeringAgent. Estos roles de IAM son necesarios para interactuar con la API de Gemini Data Analytics, incluso cuando las llamadas se originan dentro de un perímetro de los Controles del servicio de VPC.
  • Antes de configurar un perímetro de servicio de los Controles del servicio de VPC, debes configurar la política de la organización dataform.restrictGitRemotes. Esta política garantiza que los Controles del servicio de VPC apliquen verificaciones cuando usas las funciones de Dataform a través de Gemini Data Analytics. Para obtener más información, consulta Restringe los repositorios remotos.

Habilita las APIs

Habilita las APIs de Gemini Data Analytics, Dataform y BigQuery.

Roles necesarios para habilitar las APIs

Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

Habilitar las API

Roles obligatorios

Para obtener los permisos que necesitas para configurar los perímetros de servicio de los Controles del servicio de VPC, pídele a tu administrador que te otorgue el rol de IAM Editor de Access Context Manager (roles/accesscontextmanager.policyEditor) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Para obtener más información sobre los permisos de los Controles del servicio de VPC, consulta Control de acceso con IAM.

Configurar los Controles del servicio de VPC

Cuando crees un perímetro de servicio nuevo, debes incluir las siguientes APIs en el mismo perímetro de servicio:

  • geminidataanalytics.googleapis.com
  • dataform.googleapis.com
  • bigquery.googleapis.com
  • dataplex.googleapis.com
  • storage.googleapis.com

Si tienes un servicio existente, puedes actualizar el servicio perímetro para incluir las tres APIs obligatorias dentro del mismo perímetro de servicio.

¿Qué sigue?