Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Agen Teknik Data. Anda dapat menggunakan Kontrol Layanan VPC dengan Agen Teknik Data untuk mengurangi risiko pemindahan data yang tidak sah.
Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
Batasan
- Gemini Data Analytics (
geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com), dan Cloud Storage (storage.googleapis.com) harus dibatasi dalam perimeter layanan Kontrol Layanan VPC yang sama. - Batasan yang sama yang berlaku untuk Dataform dalam perimeter Kontrol Layanan VPC juga berlaku saat menggunakan Gemini Data Analytics.
Hal ini mencakup persyaratan untuk menetapkan kebijakan organisasi
dataform.restrictGitRemotes. Untuk mengetahui informasi selengkapnya, lihat Batasan.
Pertimbangan keamanan
Saat Anda menyiapkan perimeter Kontrol Layanan VPC untuk Gemini Data Analytics, tinjau izin yang diberikan kepada agen dan akun layanan Anda, termasuk agen layanan Dataform dan akun layanan kustom apa pun, untuk memastikan keselarasan dengan arsitektur keamanan Anda. Izin yang diberikan kepada akun ini menentukan aksesnya ke resource dalam perimeter.
Sebelum memulai
- Pastikan pengguna atau akun layanan yang menggunakan Gemini Data Analytics memiliki izin IAM yang diperlukan. Anda dapat memberikan peran
roles/geminidataanalytics.dataAgentStatelessUser, yang mencakup izin yang diperlukangeminidataanalytics.locations.useDataEngineeringAgent. Peran IAM ini diperlukan untuk berinteraksi dengan Gemini Data Analytics API, bahkan saat panggilan berasal dari dalam perimeter Kontrol Layanan VPC. - Sebelum mengonfigurasi perimeter layanan Kontrol Layanan VPC, Anda harus menetapkan kebijakan organisasi
dataform.restrictGitRemotes. Kebijakan ini memastikan bahwa Kontrol Layanan VPC menerapkan pemeriksaan saat Anda menggunakan fitur Dataform melalui Gemini Data Analytics. Untuk mengetahui informasi selengkapnya, lihat Membatasi repositori jarak jauh.
Mengaktifkan API
Aktifkan Gemini Data Analytics, Dataform, BigQuery API.
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin
(roles/serviceusage.serviceUsageAdmin),
yang berisi izin serviceusage.services.enable. Pelajari cara memberikan
peran.
Peran yang diperlukan
Untuk mendapatkan izin yang
yang diperlukan untuk mengonfigurasi perimeter layanan Kontrol Layanan VPC,
minta administrator untuk memberi Anda
peran IAM Editor Access Context Manager (roles/accesscontextmanager.policyEditor) di project.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mengetahui informasi selengkapnya tentang izin Kontrol Layanan VPC, lihat Kontrol akses dengan IAM.
Mengonfigurasi Kontrol Layanan VPC
Saat Anda membuat perimeter layanan baru, Anda harus menyertakan API berikut dalam perimeter layanan yang sama:
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
Jika memiliki layanan yang ada, Anda dapat memperbarui perimeter layanan untuk menyertakan tiga API yang diperlukan dalam perimeter layanan yang sama.
Langkah berikutnya
- Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
- Untuk mempelajari lebih lanjut integrasi Kontrol Layanan VPC di Dataform, lihat Mengonfigurasi Kontrol Layanan VPC untuk Dataform.
- Untuk mempelajari lebih lanjut integrasi Kontrol Layanan VPC di BigQuery, lihat Kontrol Layanan VPC untuk BigQuery.
- Untuk mempelajari lebih lanjut Layanan Kebijakan Organisasi, lihat Pengantar Layanan Kebijakan Organisasi.