本文档介绍如何配置 VPC Service Controls 以支持 Data Engineering Agent。您可以将 VPC Service Controls 与 Data Engineering Agent 搭配使用,以降低数据渗漏的风险。
如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
限制
- Gemini Data Analytics (
geminidataanalytics.googleapis.com)、Dataform (dataform.googleapis.com)、BigQuery (bigquery.googleapis.com)、Knowledge Catalog (dataplex.googleapis.com) 和 Cloud Storage (storage.googleapis.com) 必须全部限制在同一 VPC Service Controls 服务边界内。 - 在 VPC Service Controls 边界内使用 Dataform 时所受的限制同样适用于使用 Gemini 数据分析时。这包括设置
dataform.restrictGitRemotes组织政策的要求。如需了解详情,请参阅限制。
安全注意事项
为 Gemini Data Analytics 设置 VPC Service Controls 边界时,请检查授予服务代理和账号(包括 Dataform 服务代理和任何自定义服务账号)的权限,确保这些权限与您的安全架构保持一致。授予这些账号的权限决定了它们对边界内资源的访问权限。
准备工作
- 确保使用 Gemini 数据分析的用户或服务账号拥有必要的 IAM 权限。您可以授予
roles/geminidataanalytics.dataAgentStatelessUser角色,该角色包含所需的权限geminidataanalytics.locations.useDataEngineeringAgent。即使调用源自 VPC Service Controls 边界内,也需要这些 IAM 角色才能与 Gemini Data Analytics API 进行交互。 - 在配置 VPC Service Controls 服务边界之前,您必须设置
dataform.restrictGitRemotes组织政策。此政策可确保当您通过 Gemini Data Analytics 使用 Dataform 功能时,VPC Service Controls 会强制执行检查。如需了解详情,请参阅限制远程代码库。
启用 API
启用 Gemini Data Analytics、Dataform 和 BigQuery API。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin),该角色包含 serviceusage.services.enable 权限。了解如何授予角色。
所需的角色
如需获得配置 VPC Service Controls 服务边界所需的权限,请让管理员向您授予项目的 Access Context Manager Editor (roles/accesscontextmanager.policyEditor) IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
如需详细了解 VPC Service Controls 权限,请参阅使用 IAM 控制访问权限。
配置 VPC Service Controls
创建新的服务边界时,您必须将以下 API 纳入同一服务边界:
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
如果您已有服务,可以更新服务边界,以将三个必需的 API 纳入同一服务边界。
后续步骤
- 如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
- 如需详细了解 Dataform 中的 VPC Service Controls 集成,请参阅为 Dataform 配置 VPC Service Controls。
- 如需详细了解 BigQuery 中的 VPC Service Controls 集成,请参阅适用于 BigQuery 的 VPC Service Controls。
- 如需详细了解组织政策服务,请参阅组织政策服务简介。