Compartir reglas de Controles de Servicio de VPC
En este documento se describen las reglas de entrada y salida que deben permitir que los editores y suscriptores de la función de compartir de BigQuery (antes Analytics Hub) accedan a los datos de proyectos que tengan perímetros de Controles de Servicio de VPC. Se presupone que conoces los perímetros de Controles de Servicio de VPC, los conjuntos de datos compartidos, los intercambios de datos, las fichas y los conjuntos de datos vinculados.
Un proyecto de llamada es el proyecto de red o de cliente que inicia la solicitud, como una consulta SQL o un comando de la CLI de Google Cloud.
Crear un intercambio de datos
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido están en perímetros de servicio diferentes:
Imagen 1. Reglas de Controles de Servicio de VPC para crear un intercambio de datos.
En la figura 1, se han etiquetado los siguientes componentes:
- El llamante es un administrador de uso compartido de BigQuery.
- Project R es el proyecto que llama.
- Project E aloja el intercambio de datos y las fichas.
Como administrador de BigQuery sharing, cuando crea un intercambio de datos en un proyecto distinto del proyecto de la llamada, debe añadir las siguientes reglas de entrada y de salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R | Regla de salida del proyecto E |
| Proyecto E (intercambio de datos) | Regla de entrada del proyecto R |
Crear una ficha
En el siguiente diagrama, los proyectos que contienen el intercambio de datos y el conjunto de datos compartido están en perímetros de servicio diferentes:
Imagen 2. Reglas de Controles de Servicio de VPC para crear una ficha.
En la figura 2, se han etiquetado los siguientes componentes:
- Llamador es un administrador o editor de uso compartido de BigQuery.
- Project R es el proyecto que llama.
- El proyecto E aloja el intercambio de datos y las fichas.
- El proyecto S aloja el conjunto de datos compartido.
Cuando creas una ficha en un intercambio de datos que está en un proyecto diferente al del conjunto de datos compartido, debes añadir las siguientes reglas de entrada y salida para permitir que los editores de BigQuery sharing creen una ficha:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto S |
| Proyecto E (intercambio de datos) |
Regla de salida del proyecto S Regla de entrada del proyecto R |
| Proyecto S (conjunto de datos compartido) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Suscribirse a una ficha
En el siguiente diagrama, los proyectos que contienen la ficha y el conjunto de datos vinculado de esa ficha están en perímetros de servicio diferentes:
Imagen 3. Reglas de Controles de Servicio de VPC para suscribirse a una ficha.
En la figura 3, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de uso compartido de BigQuery.
- Project R es el proyecto que llama.
- Project E aloja el intercambio de datos y las fichas.
- El proyecto L aloja el conjunto de datos vinculado.
Como suscriptor de BigQuery sharing, cuando te suscribes a una ficha de un intercambio de datos que está en un proyecto diferente al tuyo, debes añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto E Regla de salida del proyecto L |
| Proyecto E (ficha) |
Regla de salida del proyecto L Regla de entrada del proyecto R |
| Proyecto L (conjunto de datos vinculado) |
Regla de salida del proyecto E Regla de entrada del proyecto R |
Consultar tablas de un conjunto de datos vinculado
En el siguiente diagrama, el proyecto de llamada y el proyecto que contiene el conjunto de datos vinculado están en perímetros de servicio diferentes:
Imagen 4. Reglas de Controles de Servicio de VPC para consultar un conjunto de datos vinculado.
En la figura 4, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de uso compartido de BigQuery o cualquier usuario de tareas de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V aloja el conjunto de datos compartido que contiene la tabla.
Como suscriptor de uso compartido de BigQuery, cuando consultas una tabla del conjunto de datos vinculado, debes añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R | Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) | Regla de entrada del proyecto R |
Consultar vistas de un conjunto de datos vinculado
Situación 1
En el siguiente diagrama, los proyectos que contienen el conjunto de datos vinculado y las tablas base asociadas a la vista están en perímetros de servicio diferentes. La vista (Project S) y la tabla base asociada a la vista (Project V) están en proyectos diferentes:
Imagen 5. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 5, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de uso compartido de BigQuery o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- El proyecto S aloja el conjunto de datos compartido.
- El proyecto V aloja el conjunto de datos que contiene las tablas base asociadas a la vista.
Como suscriptor de uso compartido de BigQuery, cuando consultas una vista en un conjunto de datos vinculado, debes añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L Regla de salida del proyecto V |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R Regla de salida del proyecto V |
| Proyecto V |
Regla de salida del proyecto L Regla de entrada del proyecto R |
Situación 2
En el siguiente diagrama, la vista (Proyecto V) y la tabla base asociada a la vista (Proyecto V) están en el mismo proyecto:
Imagen 6. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 6, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de uso compartido de BigQuery o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V contiene tanto la vista como las tablas base asociadas a la vista.
Como suscriptor de uso compartido de BigQuery, cuando consultas una vista en un conjunto de datos vinculado, debes añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R |
Consultar vistas autorizadas en un conjunto de datos vinculado
En el siguiente diagrama, la vista autorizada y la tabla base asociada a la vista autorizada (Proyecto V) están en el mismo proyecto:
Imagen 7. Reglas de Controles de Servicio de VPC para consultar una vista en un conjunto de datos vinculado.
En la figura 7, se han etiquetado los siguientes componentes:
- Llamador es un suscriptor de uso compartido de BigQuery o cualquier usuario de trabajos de BigQuery del conjunto de datos vinculado.
- Project R es el proyecto que llama.
- El proyecto L aloja el conjunto de datos vinculado.
- Proyecto V contiene tanto la vista autorizada como las tablas base asociadas a la vista.
Como suscriptor de uso compartido de BigQuery, cuando consultas una vista en un conjunto de datos vinculado, debes añadir las siguientes reglas de entrada y salida:
| Proyecto | Rule (Regla) |
|---|---|
| Proyecto R |
Regla de salida del proyecto L |
| Proyecto L (conjunto de datos vinculado) |
Regla de entrada del proyecto R |
Limitaciones
La función para compartir de BigQuery no admite reglas basadas en métodos. Para permitir métodos, debes permitir todos los métodos. Por ejemplo:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: analyticshub.googleapis.com
resources:
- projects/PROJECT_ID
Si los recursos de BigQuery también están protegidos por perímetros de servicio, también se deben permitir las reglas de entrada y salida para el servicio de BigQuery. No es necesario al crear un intercambio de datos. Las reglas de entrada y salida de BigQuery serán similares a las del uso compartido de BigQuery. Por ejemplo:
ingressTo:
operations:
- methodSelectors:
- method: '*'
serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
Siguientes pasos
- Soluciona problemas de Controles de Servicio de VPC.
- Consulta información sobre las reglas de entrada y salida.
- Consulta información sobre cómo configurar políticas de entrada y salida.
- Consulta cómo crear una ficha.
- Consulta cómo suscribirte a una ficha.
- Consulta información sobre el registro de auditoría de uso compartido.