Proteja repositórios num perímetro de serviço

O VPC Service Controls melhora a sua capacidade de mitigar o risco de cópia ou transferência não autorizada de dados de serviços geridos pela Google CloudGoogle.

Com os VPC Service Controls, pode configurar perímetros de segurança em torno dos recursos dos seus serviços geridos pela Google e controlar a movimentação de dados no limite do perímetro. Google Cloud

Usar o Artifact Registry com os VPC Service Controls

Se estiver a usar o Artifact Registry e clusters privados do Google Kubernetes Engine num projeto dentro de um perímetro de serviço, pode aceder a imagens de contentores dentro do perímetro de serviço, bem como a imagens fornecidas pela Google.Google Cloud

As imagens do Docker Hub em cache armazenadas no mirror.gcr.io não estão incluídas no perímetro de serviço, a menos que seja adicionada uma regra de saída para permitir a saída para a cache do Docker do Artifact Registry que aloja o mirror.gcr.io.

Para usar o mirror.gcr.io num perímetro de serviço, adicione a seguinte regra de saída:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Para saber mais sobre as regras de entrada e saída, consulte o artigo Regras de entrada e saída.

Pode aceder ao Artifact Registry através dos endereços IP para os domínios predefinidos das APIs e dos serviços Google ou através destes endereços IP especiais:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Para ver detalhes acerca destas opções, consulte o artigo Configurar o acesso privado à Google. Para ver um exemplo de configuração que usa 199.36.153.4/30 (restricted.googleapis.com), consulte a documentação sobre o acesso ao registo com um IP virtual.

Certifique-se de que os Google Cloud serviços que precisam de aceder ao Artifact Registry também estão no perímetro de serviço, incluindo a autorização binária, a análise de artefactos e os ambientes de tempo de execução, como o Google Kubernetes Engine e o Cloud Run. Consulte a lista de serviços suportados para ver detalhes sobre cada serviço.

Para obter instruções gerais sobre como adicionar o Artifact Registry a um perímetro de serviço, consulte o artigo Criar um perímetro de serviço.

Aceda a imagens em gcr.io repositórios

Para aceder a imagens em repositórios do Artifact Registry gcr.io, quando definir políticas de entrada ou saída, use o tipo de identidade ANY_IDENTITY. Não pode usar os tipos de identidade ANY_SERVICE_ACCOUNT ou ANY_USER_ACCOUNT para imagens no domínio gcr.io.

Usar a Artifact Analysis com os VPC Service Controls

Para saber como adicionar a análise de artefactos ao seu perímetro, consulte o artigo Proteger a análise de artefactos num perímetro de serviço.