Как повысить безопасность с помощью Управления зонами безопасности VPC

Элементы управления сервисами VPC повышают безопасность ваших данных, позволяя вам определить периметр сервиса вокруг ресурсов Google Cloud. Этот периметр службы ограничивает перемещение данных через границу периметра, что снижает риски утечки данных.

Узнайте больше об элементах управления услугами VPC.

Предварительные условия

В этой статье предполагается, что вы ранее:

  • Назначил административный проект в своем аккаунте Ads Data Hub.
  • В вашей учетной записи службы указан адрес электронной почты, содержащий gcp-sa-adsdatahub.iam.gserviceaccount.com . Если вы этого не сделали или не уверены, нужно ли вам это делать, обратитесь в службу поддержки Ads Data Hub .
  • Обратились в службу поддержки Ads Data Hub, чтобы настроить вашу учетную запись для управления услугами VPC.

Включить элементы управления службами VPC

Если вы ранее не настроили элементы управления службами VPC, см. краткое руководство по управлению службами VPC . Краткое руководство поможет вам выполнить первоначальную настройку элементов управления услугами VPC. После завершения краткого руководства следуйте инструкциям ниже.

Настройка для Ads Data Hub

  1. Перейдите в консоль управления сервисами VPC и выберите существующий периметр сервиса.
  2. Добавьте проекты, которые вы хотите защитить в пределах периметра. Вы должны включить проект администратора и все проекты, которые вы используете для входных или выходных данных в Ads Data Hub.
  3. Добавьте Ads Data Hub и BigQuery в качестве сервисов с ограниченным доступом в пределах периметра.
    1. VPC Service Controls рекомендует ограничить все сервисы в периметре.

Ограничения

Некоторые функции Ads Data Hub (такие как активация индивидуальной аудитории, сопоставление предоставленных пользователем данных и таблицы соответствия LiveRamp) требуют экспорта определенных пользовательских данных за пределы периметра управления службами VPC. Если Ads Data Hub добавлен как сервис с ограниченным доступом, он будет обходить политики контроля служб VPC для этих функций, чтобы сохранить их возможности.

Все зависимые службы должны быть включены в число разрешенных служб в одном периметре управления службами VPC. Например, поскольку Ads Data Hub использует BigQuery, необходимо также добавить BigQuery. В целом, передовые методы управления услугами VPC рекомендуют включать все сервисы в периметр, т. е. «ограничивать все сервисы».

Клиенты с двухуровневой структурой аккаунтов Ads Data Hub, например агентства с дочерними компаниями, должны иметь все свои проекты администрирования в одном периметре. Для простоты Ads Data Hub рекомендует клиентам с двухуровневой структурой учетных записей ограничивать свои проекты администрирования одной и той же организацией Google Cloud.