本文說明如何設定 VPC Service Controls,以支援 Data Engineering Agent。您可以搭配使用 VPC Service Controls 和 Data Engineering Agent,降低資料竊取風險。
如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
限制
- Gemini Data Analytics (
geminidataanalytics.googleapis.com)、Dataform (dataform.googleapis.com)、BigQuery (bigquery.googleapis.com)、Knowledge Catalog (dataplex.googleapis.com) 和 Cloud Storage (storage.googleapis.com) 都必須限制在同一個 VPC Service Controls 服務邊界內。 - 在 VPC Service Controls 邊界內使用 Dataform 時,會受到相同限制,使用 Gemini Data Analytics 時也不例外。這包括設定
dataform.restrictGitRemotes機構政策的規定。詳情請參閱「限制」。
安全性考量
為 Gemini Data Analytics 設定 VPC Service Controls 範圍時,請檢查授予服務代理程式和帳戶的權限 (包括 Dataform 服務代理程式和任何自訂服務帳戶),確保符合您的安全架構。授予這些帳戶的權限會決定其在範圍內的資源存取權。
事前準備
- 請確認使用 Gemini Data Analytics 的使用者或服務帳戶具備必要的 IAM 權限。您可以授予
roles/geminidataanalytics.dataAgentStatelessUser角色,其中包含必要權限geminidataanalytics.locations.useDataEngineeringAgent。即使呼叫源自 VPC Service Controls 邊界內,與 Gemini Data Analytics API 互動時也必須具備這些 IAM 角色。 - 設定 VPC Service Controls 服務範圍前,請務必設定
dataform.restrictGitRemotes組織政策。這項政策可確保您透過 Gemini Data Analytics 使用 Dataform 功能時,VPC Service Controls 會強制執行檢查。詳情請參閱「限制遠端存放區」。
啟用 API
啟用 Gemini Data Analytics、Dataform 和 BigQuery API。
啟用 API 時所需的角色
如要啟用 API,您需要具備服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。
必要的角色
如要取得設定 VPC Service Controls 服務範圍所需的權限,請要求管理員授予您專案的存取權情境管理員編輯者 (roles/accesscontextmanager.policyEditor) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
如要進一步瞭解 VPC Service Controls 權限,請參閱「使用 IAM 控管存取權」。
設定 VPC Service Controls
建立新的服務範圍時,您必須在同一個服務範圍中加入下列 API:
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
如果您已有服務,可以更新服務範圍,在同一個服務範圍內納入這三個必要 API。
後續步驟
- 如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
- 如要進一步瞭解 Dataform 中的 VPC Service Controls 整合功能,請參閱「為 Dataform 設定 VPC Service Controls」。
- 如要進一步瞭解 BigQuery 中的 VPC Service Controls 整合功能,請參閱 BigQuery 的 VPC Service Controls。
- 如要進一步瞭解機構政策服務,請參閱「機構政策服務簡介」。