Configurer VPC Service Controls pour l'agent Data Engineering

Ce document explique comment configurer VPC Service Controls pour prendre en charge l'agent Data Engineering. Vous pouvez utiliser VPC Service Controls avec l'agent Data Engineering pour réduire le risque d'exfiltration de données.

Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Limites

  • Gemini Data Analytics (geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com) et Cloud Storage (storage.googleapis.com) doivent tous être limités au même périmètre de service VPC Service Controls.
  • Les mêmes limites qui s'appliquent à Dataform dans un périmètre VPC Service Controls s'appliquent également lorsque vous utilisez Gemini Data Analytics. Cela inclut l'obligation de définir la règle d'administration dataform.restrictGitRemotes. Pour en savoir plus, consultez la section Limites.

Points à noter concernant la sécurité

Lorsque vous configurez un périmètre VPC Service Controls pour Gemini Data Analytics, examinez les autorisations accordées à vos agents et comptes de service, y compris les agents de service Dataform et tous les comptes de service personnalisés, afin de vous assurer qu'ils sont conformes à votre architecture de sécurité. Les autorisations accordées à ces comptes déterminent leur accès aux ressources du périmètre.

Avant de commencer

  • Assurez-vous que les utilisateurs ou les comptes de service qui utilisent Gemini Data Analytics disposent des autorisations IAM nécessaires. Vous pouvez accorder le rôle roles/geminidataanalytics.dataAgentStatelessUser, qui inclut l'autorisation requise geminidataanalytics.locations.useDataEngineeringAgent. Ces rôles IAM sont nécessaires pour interagir avec l'API Gemini Data Analytics, même lorsque les appels proviennent d'un périmètre VPC Service Controls.
  • Avant de configurer un périmètre de service VPC Service Controls, vous devez définir la règle d'administration dataform.restrictGitRemotes. Cette règle garantit que VPC Service Controls applique des vérifications lorsque vous utilisez des fonctionnalités Dataform via Gemini Data Analytics. Pour en savoir plus, consultez la section Restreindre les dépôts distants.

Activer les API

Activez les API Gemini Data Analytics, Dataform et BigQuery.

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment accorder des rôles.

Activer les API

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer des périmètres de service VPC Service Controls, demandez à votre administrateur de vous accorder le rôle IAM Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour en savoir plus sur les autorisations VPC Service Controls, consultez Contrôle des accès avec IAM.

Configurer VPC Service Controls

Lorsque vous créez un périmètre de service, vous devez inclure les API suivantes dans le même périmètre de service :

  • geminidataanalytics.googleapis.com
  • dataform.googleapis.com
  • bigquery.googleapis.com
  • dataplex.googleapis.com
  • storage.googleapis.com

Si vous disposez d'un service existant, vous pouvez mettre à jour le service périmètre pour inclure les trois API requises dans le même périmètre de service.

Étape suivante