VPC Service Controls bietet die Möglichkeit, das Risiko der Datenexfiltration aus Google Cloud Diensten zu reduzieren. Mit VPC Service Controls können Sie Dienstperimeter erstellen, die die Ressourcen und Daten von Diensten schützen, die Sie explizit angeben.
Wenn Sie den Dienst Looker (Google Cloud Core) einem VPC Service Controls-Dienstperimeter hinzufügen möchten, folgen Sie der Anleitung zum Erstellen eines Dienstperimeters auf der Dokumentationsseite Dienstperimeter erstellen und wählen Sie im Dialogfeld Dienste angeben, die eingeschränkt werden sollen die Option Looker (Google Cloud Core) API aus. Weitere Informationen zur Verwendung von VPC Service Controls finden Sie auf der Dokumentationsseite Übersicht über VPC Service Controls.
VPC Service Controls unterstützt Looker (Google Cloud Core)-Instanzen, die zwei Kriterien erfüllen:
- Instanzversionen müssen Enterprise oder Embed sein.
- Die Netzwerkkonfigurationen der Instanz müssen private Verbindungen verwenden.
Erforderliche Rollen
Informationen zu den erforderlichen IAM-Rollen für die Einrichtung von VPC Service Controls finden Sie auf der Seite Zugriffssteuerung mit IAM in der Dokumentation zu VPC Service Controls.
Standardroute entfernen
Wenn eine Looker (Google Cloud Core)-Instanz in einem Google Cloud Projekt erstellt wird, das sich in einem VPC Service Controls-Perimeter befindet, oder in einem Projekt, das einem VPC Service Controls-Perimeter hinzugefügt wird, müssen Sie die Standardroute zum Internet entfernen.
Wählen Sie eine der folgenden Optionen aus, um die Standardroute zum Internet zu entfernen:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Ersetzen Sie NETWORK durch das VPC-Netzwerk Ihrer Looker (Google Cloud Core)-Instanz.
Weitere Informationen finden Sie auf der Dokumentationsseite gcloud services vpc-peerings enable-vpc-service-controls.
REST
HTTP-Methode und URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
JSON-Text der Anfrage:
{
"consumerNetwork": NETWORK
}
Ersetzen Sie NETWORK durch das VPC-Netzwerk Ihrer Looker (Google Cloud Core)-Instanz.
Weitere Informationen finden Sie auf der Dokumentationsseite Methode: services.enableVpcServiceControls.
Verbindung zu Ressourcen oder Diensten außerhalb des VPC Service Controls-Perimeters herstellen
Wenn Sie eine Verbindung zu einer anderen Google Cloud Ressource oder einem anderen Dienst herstellen möchten, müssen Sie möglicherweise Regeln für ein- und ausgehenden Traffic einrichten, wenn sich das Projekt, in dem sich die Ressource befindet, außerhalb des VPC Service Controls-Perimeters befindet.
Informationen zum Zugriff auf andere externe Ressourcen finden Sie in der Anleitung für den Ressourcentyp, mit dem Sie eine Verbindung herstellen möchten, entweder auf der Dokumentationsseite Zugriff auf externe Dienste über den privaten Dienstzugriff oder auf der Dokumentationsseite Looker (Google Cloud Core)-Zugriff auf externe Dienste über Private Service Connect (je nachdem, ob Ihre Instanz den privaten Dienstzugriff oder Private Service Connect verwendet).
CMEK-Schlüssel einem Perimeter hinzufügen
Manchmal wird der Cloud KMS-Schlüssel für eine Looker (Google Cloud Core)-Instanz, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) aktiviert ist, in einem anderen Google Cloud Projekt gehostet. Wenn Sie in einem solchen Szenario VPC Service Controls aktivieren, müssen Sie das KMS-Schlüsselhosting-Projekt zum Sicherheitsbereich hinzufügen.
Nächste Schritte
- Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
- Looker (Google Cloud Core)-Instanz einrichten