Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תמיכה ב-VPC Service Controls ל-Looker ‏ (Google Cloud Core)

בעזרת VPC Service Controls תוכלו לשפר את היכולת שלכם לצמצם את הסיכון לזליגת נתונים משירותים. Google Cloud אתם יכולים להשתמש ב-VPC Service Controls כדי ליצור גבולות גזרה לשירותים שיעזרו לכם להגן על המשאבים והנתונים של שירותים שאתם מציינים באופן מפורש.

כדי להוסיף את השירות Looker (Google Cloud core) לגבולות גזרה לשירות של VPC Service Controls, פועלים לפי ההוראות ליצירת גבולות גזרה לשירות בדף התיעוד יצירת גבולות גזרה של שירות, ובוחרים באפשרות Looker (Google Cloud core) API בתיבת הדו-שיח Specify services to restrict. מידע נוסף על שימוש ב-VPC Service Controls זמין בדף התיעוד סקירה כללית על VPC Service Controls.

‫VPC Service Controls תומך במופעים של Looker (ליבת Google Cloud) שעומדים בשני קריטריונים:

מהדורות של מכונות צריכות להיות Enterprise או Embed
הגדרות הרשת של המכונה חייבות להשתמש בחיבורים פרטיים

התפקידים הנדרשים

כדי להבין אילו תפקידי IAM נדרשים להגדרה של VPC Service Controls, אפשר לעיין בדף בקרת גישה באמצעות IAM במסמכי התיעוד של VPC Service Controls.

הסרת מסלול ברירת המחדל

כשיוצרים מופע של Looker (Google Cloud core) בתוך Google Cloud פרויקט שנמצא בתוך service perimeter של VPC Service Controls, או בתוך פרויקט שמתווסף ל-service perimeter של VPC Service Controls, צריך להסיר את נתיב ברירת המחדל לאינטרנט.

כדי להסיר את נתיב ברירת המחדל לאינטרנט, בוחרים באחת מהאפשרויות הבאות:

gcloud

gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com

מחליפים את NETWORK ברשת ה-VPC של מופע Looker (Google Cloud core).

מידע נוסף זמין בדף התיעוד בנושא gcloud services vpc-peerings enable-vpc-service-controls.

REST

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls

תוכן בקשת JSON:

{
"consumerNetwork": NETWORK
}

מחליפים את NETWORK ברשת ה-VPC של מופע Looker (Google Cloud core).

מידע נוסף זמין בדף התיעוד בנושא שיטה: services.enableVpcServiceControls.

חיבור למשאבים או לשירותים מחוץ לגבולות הגזרה של VPC Service Controls

כדי להתחבר למשאב או לשירות אחרים, יכול להיות שתצטרכו להגדיר כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) אם הפרויקט שבו נמצא המשאב ממוקם מחוץ לגבולות הגזרה של VPC Service Controls. Google Cloud

כדי לקבל מידע על גישה למשאבים חיצוניים אחרים, פועלים לפי ההוראות לסוג המשאב שאליו רוצים להתחבר בדף התיעוד גישה לשירותים חיצוניים באמצעות גישה פרטית לשירותים או גישה דרומה לשירותים חיצוניים ב-Looker (ליבת Google Cloud) באמצעות Private Service Connect (בהתאם לשיטה שבה נעשה שימוש במופע שלכם: גישה פרטית לשירותים או Private Service Connect).

הוספת מפתחות CMEK לגבולות גזרה

לפעמים, מפתח Cloud KMS שמשמש מופע של Looker (Google Cloud core) שמופעלים בו מפתחות הצפנה בניהול הלקוח (CMEK) מאוחסן בפרויקט אחר. Google Cloud בתרחיש הזה, כשמפעילים את VPC Service Controls, צריך להוסיף את הפרויקט שמארח את מפתח ה-KMS לגבולות הגזרה של האבטחה.