En esta página, se muestra cómo proteger tus instancias de Managed Lustre con un perímetro de servicio mediante los Controles del servicio de VPC.
Los Controles del servicio de VPC protegen contra el robo de datos y proporcionan una capa adicional de seguridad para tus instancias. Para obtener más información sobre los Controles del servicio de VPC, consulta descripción general de los controles del servicio de VPC.
Una vez que un perímetro de servicio protege a la API de Managed Lustre, las solicitudes a la API de Managed Lustre que provengan de clientes fuera del perímetro deben tener las reglas de nivel de acceso correspondientes.
Protege tus instancias de Google Cloud Managed Lustre mediante los Controles del servicio de VPC
Agregar la API de Managed Lustre a tu perímetro de servicio Si deseas obtener instrucciones para agregar un servicio a tu perímetro de servicio, consulta Actualiza un perímetro de servicio.
Usa los Controles del servicio de VPC con claves de encriptación administradas por el cliente (CMEK)
Cuando creas una instancia de Managed Lustre protegida por CMEK dentro de un perímetro de Controles del servicio de VPC, tu clave de Cloud KMS debe ser una de las siguientes:
- Dentro del mismo perímetro de Controles del servicio de VPC
- Accesible a través de una regla de salida
Cuando la instancia protegida por CMEK y las claves de Cloud KMS están en el mismo perímetro, no se requiere ninguna configuración adicional.
Si las claves de Cloud KMS están fuera del perímetro, agrega la siguiente regla a tu perímetro de Controles del servicio de VPC:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
Reemplaza los marcadores de posición de la siguiente manera:
- CONSUMER_PROJECT_NUMBER es el número del proyecto que contendrá tu instancia de Managed Lustre protegida por CMEK.
- KMS_PROJECT_NUMBER es el número del proyecto que contiene tus claves de Cloud Key Management Service.
Obtén información para encontrar un número de proyecto.
Limitaciones de los Controles del servicio de VPC para instancias de Managed Lustre
Se aplica la siguiente limitación cuando se usan los Controles del servicio de VPC con Managed Lustre:
- Si usas tanto VPC compartida como Controles del servicio de VPC, el proyecto host que contiene la red y el proyecto de servicio que contiene la instancia de Managed Lustre deben estar dentro del mismo perímetro. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.