Questo documento è destinato agli amministratori della sicurezza e ai data engineer che devono proteggere i servizi di Knowledge Catalog (in precedenza Dataplex Universal Catalog). Spiega come utilizzare i Controlli di servizio VPC per creare perimetri di servizio che proteggono le risorse di Knowledge Catalog e mitigano i rischi di esfiltrazione di dati. Per saperne di più, consulta la panoramica dei Controlli di servizio VPC.
Funzionalità supportate
Quando proteggi Knowledge Catalog con un perimetro di servizio, sono supportate le seguenti funzionalità:
Lake: puoi creare e gestire i lake di Knowledge Catalog all'interno del perimetro.
Asset: puoi gestire gli asset all'interno del perimetro.
Risorse di metadati nel catalogo: puoi gestire le risorse di metadati all'interno del perimetro.
Esportazione dei metadati: puoi esportare i metadati in Dataproc Metastore, che richiede una configurazione aggiuntiva dei Controlli di servizio VPC. Per saperne di più, consulta Controlli di servizio VPC.
Insight sui dati: puoi eseguire scansioni di profilazione dei dati, qualità dei dati e metadati insight.
Derivazione dei dati: puoi monitorare la derivazione dei dati utilizzando l'IP virtuale (VIP) limitato.
Ricerca in Knowledge Catalog: puoi utilizzare l'
SearchEntriesAPI. Quando utilizzi la ricerca in Knowledge Catalog in un progetto protetto da un perimetro di servizio, i risultati di ricerca includono solo le risorse che si trovano all'interno dello stesso perimetro. Per saperne di più, consulta Ambito di ricerca e Isola i risultati di ricerca per ambiente utilizzando i Controlli di servizio VPC.Prodotti di dati (anteprima): puoi utilizzare i Controlli di servizio VPC per proteggere i prodotti di dati, assicurandoti che la comunicazione tra il prodotto di dati, i relativi asset di dati costituenti (ad esempio le tabelle BigQuery) e gli utenti rimanga all'interno dei perimetri autorizzati. Per saperne di più, consulta Utilizzare i Controlli di servizio VPC con i prodotti di dati.
Limitazioni
Puoi creare risorse di Knowledge Catalog prima di configurare il perimetro di sicurezza dei Controlli di servizio VPC, ma queste risorse non avranno la protezione del perimetro.
Per impostazione predefinita, i Controlli di servizio VPC impediscono alle risorse all'interno di un perimetro di servizio di accedere a dati e servizi al di fuori di quel perimetro. Ad esempio, le scansioni di profilazione dei dati e qualità dei dati di Knowledge Catalog non possono accedere a origini dati, come tabelle BigQuery o file Cloud Storage, che si trovano al di fuori del perimetro di servizio. Allo stesso modo, quando esporti i risultati della scansione dei dati, la tabella BigQuery di destinazione deve trovarsi in un progetto protetto dal perimetro. Per informazioni su come concedere l'accesso alle risorse protette dall'esterno del perimetro, consulta Creare un livello di accesso.
Configurare i Controlli di servizio VPC
Per proteggere le risorse di Knowledge Catalog con i Controlli di servizio VPC, segui questi passaggi:
- Configura la rete VPC.
- Crea un perimetro di servizio.
- Aggiungi progetti al perimetro.
- Aggiungi l'API Dataplex al perimetro di servizio.
- (Facoltativo) Crea un livello di accesso.
Configurare la rete Virtual Private Cloud (VPC)
Puoi configurare la rete VPC per limitare l'accesso privato Google rispetto a un perimetro di servizio. In questo modo, gli host sulla rete VPC o on-premise possono comunicare solo con le API di Google e i servizi supportati dai Controlli di servizio VPC in modi conformi alla policy del perimetro associato.
Per saperne di più, consulta Configurazione della connettività privata alle API di Google e ai servizi Google.
Creare un perimetro di servizio
Quando crei un perimetro di servizio, selezioni i progetti di Knowledge Catalog che vuoi che il perimetro di servizio dei Controlli di servizio VPC protegga.
Per creare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio.
Aggiungere altri progetti al perimetro di servizio
Per aggiungere i progetti di Knowledge Catalog esistenti al perimetro, segui le istruzioni riportate in Aggiornare un perimetro di servizio.
Aggiungere l'API Dataplex al perimetro di servizio
Per ridurre il rischio di esfiltrazione dei dati da Knowledge Catalog, ad esempio utilizzando i metodi dell'API Dataplex, devi limitare l'API Dataplex.
Per aggiungere l'API Dataplex come servizio limitato:
Console
Nella Google Cloud console, vai alla pagina Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC , fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
Fai clic su Modifica perimetro.
Nella pagina Modifica perimetro di servizio , fai clic su Aggiungi servizi.
Aggiungi API Dataplex.
Fai clic su Salva.
gcloud
Utilizza il comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetroPOLICY_ID: l'ID della policy di accesso
(Facoltativo) Creare un livello di accesso
Per consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.
Per saperne di più, consulta Consentire l'accesso a risorse protette dall'esterno di un perimetro.
Passaggi successivi
- Scopri di più su Controlli di servizio VPC.
- Scopri di più sul controllo dell'accesso a Knowledge Catalog con IAM.
- Scopri di più sulla sicurezza di Knowledge Catalog.