Este documento mostra como configurar o VPC Service Controls para oferecer suporte ao Data Engineering Agent. É possível usar o VPC Service Controls com o Data Engineering Agent para reduzir o risco de exfiltração de dados.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Limitações
- O Gemini Data Analytics (
geminidataanalytics.googleapis.com), o Dataform (dataform.googleapis.com), o BigQuery (bigquery.googleapis.com), o Knowledge Catalog (dataplex.googleapis.com) e o Cloud Storage (storage.googleapis.com) precisam ser restritos no mesmo perímetro de serviço do VPC Service Controls. - As mesmas limitações que se aplicam ao Dataform em um perímetro do VPC Service Controls também se aplicam ao usar o Gemini Data Analytics.
Isso inclui o requisito de definir a política da organização
dataform.restrictGitRemotes. Saiba mais em Limitações.
Considerações sobre segurança
Ao configurar um perímetro do VPC Service Controls para o Gemini Data Analytics, revise as permissões concedidas aos agentes e contas de serviço, incluindo agentes de serviço do Dataform e contas de serviço personalizadas, para garantir o alinhamento com a arquitetura de segurança. As permissões concedidas a essas contas determinam o acesso delas aos recursos dentro do perímetro.
Antes de começar
- Verifique se os usuários ou contas de serviço que usam o Gemini Data Analytics têm as permissões necessárias do IAM. É possível conceder o papel
roles/geminidataanalytics.dataAgentStatelessUser, que inclui a permissão necessáriageminidataanalytics.locations.useDataEngineeringAgent. Esses papéis do IAM são necessários para interagir com a API Gemini Data Analytics, mesmo quando as chamadas são originadas em um perímetro do VPC Service Controls. - Antes de configurar um perímetro de serviço do VPC Service Controls, defina a política da organização
dataform.restrictGitRemotes. Essa política garante que o VPC Service Controls aplique verificações ao usar os recursos do Dataform pelo Gemini Data Analytics. Para mais informações, consulte Restringir repositórios remotos.
Ativar APIs
Ative as APIs Gemini Data Analytics, Dataform e BigQuery.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder
papéis.
Funções exigidas
Para receber as permissões necessárias para configurar perímetros de serviço do VPC Service Controls,
peça ao administrador para conceder a você o
papel do IAM de editor do Access Context Manager (roles/accesscontextmanager.policyEditor) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Para mais informações sobre as permissões do VPC Service Controls, consulte Controle de acesso com o IAM.
Configurar o VPC Service Controls
Ao criar um novo perímetro de serviço, inclua as seguintes APIs no mesmo perímetro de serviço:
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
Se você tiver um serviço, você pode atualizar o perímetro de serviço para incluir as três APIs necessárias no mesmo perímetro de serviço.
A seguir
- Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
- Para saber mais sobre a integração do VPC Service Controls no Dataform, consulte Configurar o VPC Service Controls para o Dataform.
- Para saber mais sobre a integração do VPC Service Controls no BigQuery, consulte VPC Service Controls para BigQuery.
- Para saber mais sobre o serviço de Política de Organização, consulte Introdução ao serviço de Política de Organização.