Configura i Controlli di servizio VPC per l'agente Data Engineering

Questo documento mostra come configurare i Controlli di servizio VPC per supportare Data Engineering Agent. Puoi utilizzare i Controlli di servizio VPC con Data Engineering Agent per mitigare il rischio di esfiltrazione di dati.

Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.

Limitazioni

  • Gemini Data Analytics (geminidataanalytics.googleapis.com), Dataform (dataform.googleapis.com), BigQuery (bigquery.googleapis.com), Knowledge Catalog (dataplex.googleapis.com) e Cloud Storage (storage.googleapis.com) devono essere tutti limitati all'interno dello stesso perimetro di servizio dei Controlli di servizio VPC.
  • Le stesse limitazioni che si applicano a Dataform all'interno di un perimetro dei Controlli di servizio VPC si applicano anche quando si utilizza Gemini Data Analytics. Ciò include il requisito di impostare il criterio dell'organizzazione dataform.restrictGitRemotes. Per ulteriori informazioni, vedi Limitazioni.

Considerazioni sulla sicurezza

Quando configuri un perimetro dei Controlli di servizio VPC per Gemini Data Analytics, esamina le autorizzazioni concesse ai tuoi agenti di servizio e account, inclusi gli agenti di servizio Dataform e qualsiasi service account personalizzato, per assicurarti che siano in linea con la tua architettura di sicurezza. Le autorizzazioni concesse a questi account determinano il loro accesso alle risorse all'interno del perimetro.

Prima di iniziare

  • Assicurati che gli utenti o i service account che utilizzano Gemini Data Analytics dispongano delle autorizzazioni IAM necessarie. Puoi concedere il ruolo roles/geminidataanalytics.dataAgentStatelessUser, che include l'autorizzazione richiesta geminidataanalytics.locations.useDataEngineeringAgent. Questi ruoli IAM sono necessari per interagire con l'API Gemini Data Analytics, anche quando le chiamate hanno origine all'interno di un perimetro dei Controlli di servizio VPC.
  • Prima di configurare un perimetro di servizio dei Controlli di servizio VPC, devi impostare la policy dell'organizzazione dataform.restrictGitRemotes. Questo criterio garantisce che i Controlli di servizio VPC applichino i controlli quando utilizzi le funzionalità di Dataform tramite Gemini Data Analytics. Per saperne di più, vedi Limitare i repository remoti.

Abilita API

Abilita le API Gemini Data Analytics, Dataform e BigQuery.

Ruoli richiesti per abilitare le API

Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo dei servizi (roles/serviceusage.serviceUsageAdmin), che include l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

Abilita le API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare i perimetri di servizio Controlli di servizio VPC, chiedi all'amministratore di concederti il ruolo IAM Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sulle autorizzazioni dei Controlli di servizio VPC, consulta Controllo dell'accesso con IAM.

Configurazione dei Controlli di servizio VPC

Quando crei un nuovo perimetro di servizio, devi includere le seguenti API nello stesso perimetro di servizio:

  • geminidataanalytics.googleapis.com
  • dataform.googleapis.com
  • bigquery.googleapis.com
  • dataplex.googleapis.com
  • storage.googleapis.com

Se hai un servizio esistente, puoi aggiornare il perimetro di servizio per includere le tre API richieste nello stesso perimetro di servizio.

Passaggi successivi