I Controlli di servizio VPC ti aiutano a ridurre il rischio di copia o trasferimento non autorizzato di dati dai tuoi servizi gestiti da Google.
Con i Controlli di servizio VPC, puoi configurare perimetri di servizio attorno alle risorse dei tuoi servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.
Crea un perimetro di servizio
Per creare un perimetro di servizio, segui la guida ai Controlli di servizio VPC per la creazione di un perimetro di servizio.
Quando progetti il perimetro di servizio, includi i seguenti servizi:
- API Migration Center (
migrationcenter.googleapis.com) - API RMA (
rapidmigrationassessment.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Resource Manager (
cloudresourcemanager.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Consenti il traffico con regole per il trasferimento di dati in entrata
Per impostazione predefinita, il perimetro di servizio è progettato per impedire il trasferimento di dati in entrata da servizi esterni al perimetro. Se prevedi di utilizzare l'importazione dati per caricare dati dall'esterno del perimetro o di utilizzare il client di discovery per raccogliere i dati dell'infrastruttura, configura le regole di accesso ai dati per consentire questa operazione.
Attivare l'importazione dei dati
Per attivare l'importazione dei dati, specifica le regole di trasferimento dei dati in entrata utilizzando la seguente sintassi:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Sostituisci quanto segue:
SERVICE_ACCOUNT: l'account servizio per prodotto e progetto che utilizzi per caricare i dati in Migration Center, con il seguente formato:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.Qui
PROJECT_NUMBERè l'identificatore univoco del progetto Google Cloud in cui hai attivato l'API del Centro di migrazione. Per ulteriori informazioni sui numeri di progetto, consulta Identificazione dei progetti.PROJECT_ID: l'ID del progetto all'interno del perimetro su cui vuoi caricare i dati.
Non puoi utilizzare i tipi di identità ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT con gli URL firmati. Per saperne di più, consulta Consentire l'accesso alle risorse protette dall'esterno del perimetro.
Abilita la raccolta dei dati con il client predittivo
Per attivare la raccolta dei dati con il client di rilevamento, specifica le regole di trasferimento dei dati in entrata con la seguente sintassi:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Sostituisci quanto segue:
SERVICE_ACCOUNT: l'account di servizio utilizzato per creare il client di discovery. Per ulteriori informazioni, consulta la procedura di installazione del client predittivo.PROJECT_ID: l'ID del progetto all'interno del perimetro in cui vuoi caricare i dati.
Limitazioni
Quando attivi il perimetro di servizio, si applicano le seguenti limitazioni.
StratoZone
StratoZone non è conforme ai Controlli di servizio VPC. Se provi ad abilitare il Integrazione di StratoZone con Migration Center dopo la creazione del servizio automaticamente, ricevi un errore.
Tuttavia, se hai abilitato l'integrazione StratoZone prima di creare il servizio perimetro, puoi comunque accedere a StratoZone e ai dati già raccolti, ma Il Centro di migrazione non invia nuovi dati a StratoZone.