Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Agen Data Engineering. Anda dapat menggunakan Kontrol Layanan VPC dengan Agen Data Engineering untuk mengurangi risiko pemindahan data yang tidak sah.
Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
Batasan
- Gemini Data Analytics (
geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com), dan Cloud Storage (storage.googleapis.com) harus dibatasi dalam perimeter layanan Kontrol Layanan VPC yang sama. - Batasan yang sama yang berlaku untuk Dataform dalam perimeter Kontrol Layanan VPC juga berlaku saat menggunakan Analisis Data Gemini.
Hal ini mencakup persyaratan untuk menetapkan kebijakan organisasi
dataform.restrictGitRemotes. Untuk mengetahui informasi selengkapnya, lihat Batasan.
Pertimbangan keamanan
Saat Anda menyiapkan perimeter Kontrol Layanan VPC untuk Gemini Data Analytics, tinjau izin yang diberikan ke agen dan akun layanan Anda, termasuk agen layanan Dataform dan akun layanan kustom, untuk memastikan keselarasan dengan arsitektur keamanan Anda. Izin yang diberikan kepada akun ini menentukan aksesnya ke resource dalam perimeter.
Sebelum memulai
- Pastikan pengguna atau akun layanan yang menggunakan Analisis Data Gemini memiliki izin IAM yang diperlukan. Anda dapat memberikan peran
roles/geminidataanalytics.dataAgentStatelessUser, yang mencakup izin yang diperlukangeminidataanalytics.locations.useDataEngineeringAgent. Peran IAM ini diperlukan untuk berinteraksi dengan Gemini Data Analytics API, meskipun panggilan berasal dari dalam perimeter Kontrol Layanan VPC. - Sebelum mengonfigurasi perimeter layanan Kontrol Layanan VPC, Anda harus menetapkan
dataform.restrictGitRemoteskebijakan organisasi. Kebijakan ini memastikan bahwa Kontrol Layanan VPC menerapkan pemeriksaan saat Anda menggunakan fitur Dataform melalui Analisis Data Gemini. Untuk mengetahui informasi selengkapnya, lihat Membatasi repositori jarak jauh.
Mengaktifkan API
Aktifkan Gemini Data Analytics, Dataform, BigQuery API.
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin
(roles/serviceusage.serviceUsageAdmin),
yang berisi izin serviceusage.services.enable. Pelajari cara memberikan
peran.
Peran yang diperlukan
Untuk mendapatkan izin yang
diperlukan guna mengonfigurasi perimeter layanan Kontrol Layanan VPC,
minta administrator Anda untuk memberi Anda
peran IAM Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
di project.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Untuk mengetahui informasi selengkapnya tentang izin Kontrol Layanan VPC, lihat Kontrol akses dengan IAM.
Mengonfigurasi Kontrol Layanan VPC
Saat membuat perimeter layanan baru, Anda harus menyertakan API berikut dalam perimeter layanan yang sama:
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
Jika sudah memiliki layanan, Anda dapat memperbarui perimeter layanan untuk menyertakan tiga API yang diperlukan dalam perimeter layanan yang sama.
Langkah berikutnya
- Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
- Untuk mempelajari lebih lanjut integrasi Kontrol Layanan VPC di Dataform, lihat Mengonfigurasi Kontrol Layanan VPC untuk Dataform.
- Untuk mempelajari lebih lanjut integrasi Kontrol Layanan VPC di BigQuery, lihat Kontrol Layanan VPC untuk BigQuery.
- Untuk mempelajari lebih lanjut Layanan Kebijakan Organisasi, lihat Pengantar Layanan Kebijakan Organisasi.