透過 Dataplex 通用目錄使用 VPC Service Controls

本文適用於需要保護 Dataplex Universal Catalog 服務的安全管理員和資料工程師。本文說明如何使用 VPC Service Controls (VPC-SC) 建立服務範圍,保護 Dataplex Universal Catalog 資源,並降低資料竊取風險。詳情請參閱「VPC Service Controls 總覽」。

支援功能

使用服務範圍保護 Dataplex Universal Catalog 時,系統會支援下列功能:

  • 湖泊:您可以在周邊建立及管理 Dataplex Universal Catalog 湖泊。

  • 資產:您可以在範圍內管理資產。

  • 目錄中的中繼資料資源:您可以在安全防護範圍內管理中繼資料資源。

  • 匯出中繼資料:您可以將中繼資料匯出至 Dataproc Metastore,但這需要額外的 VPC-SC 設定。詳情請參閱「將中繼資料匯出至 Dataproc Metastore」。

  • 資料洞察:您可以執行資料剖析、資料品質和中繼資料洞察掃描。

  • 資料歷程:您可以使用受限的虛擬 IP (VIP) 追蹤資料歷程。

  • Dataplex 搜尋:您可以使用 SearchEntries API。在受服務安全防護範圍保護的專案中使用 Dataplex Universal Catalog 搜尋功能時,搜尋結果只會顯示位於同一安全防護範圍內的資源。詳情請參閱「搜尋範圍」和「使用 VPC Service Controls 依環境隔離搜尋結果」。

限制

您可以在設定 VPC Service Controls 安全範圍前建立 Dataplex Universal Catalog 資源,但這些資源不會受到範圍保護。

根據設計,VPC Service Controls 可防止服務範圍內的資源存取該範圍外的資料和服務。舉例來說,Dataplex Universal Catalog 資料剖析和資料品質掃描作業無法存取服務安全防護範圍外的資料來源,例如 BigQuery 資料表或 Cloud Storage 檔案。同樣地,匯出資料掃描結果時,目的地 BigQuery 資料表必須位於受邊界保護的專案中。如要瞭解如何從 perimeter 外部授予受保護資源的存取權,請參閱「建立存取層級」。

設定 VPC Service Controls

如要使用 VPC Service Controls 保護 Dataplex Universal Catalog 資源,請按照下列步驟操作:

  1. 設定虛擬私有雲網路
  2. 建立服務範圍
  3. 將專案新增至範圍
  4. 將 Dataplex API 新增至服務範圍
  5. 選用:建立存取層級

設定虛擬私有雲 (VPC) 網路

您可以設定虛擬私有雲網路,根據服務範圍限制 Private Google Access。這麼做可確保虛擬私有雲或地端部署網路中的主機,只能以符合相關聯範圍政策的方式,與 VPC Service Controls 支援的 Google API 和服務通訊。

詳情請參閱「設定連至 Google API 和服務的私人連線」。

建立 service perimeter

建立服務範圍時,請選取要由 VPC Service Controls 服務範圍保護的 Dataplex Universal Catalog 專案。

如要建立 service perimeter,請按照「建立 service perimeter」一文中的操作說明進行。

將更多專案新增至服務範圍

如要將現有的 Dataplex Universal Catalog 專案新增至範圍,請按照「更新服務範圍」一節的說明操作。

將 Dataplex API 新增至服務範圍

為降低資料從 Dataplex Universal Catalog 外洩的風險 (例如使用 Dataplex API 方法),您必須限制 Dataplex API。

如要將 Dataplex API 新增為受限制的服務,請按照下列步驟操作:

控制台

  1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

    前往 VPC Service Controls

  2. 在「VPC Service Controls」頁面的資料表中,按一下要修改的 service perimeter 名稱。

  3. 按一下「編輯範圍」

  4. 在「Edit Service Perimeter」(編輯服務範圍) 頁面中,按一下「Add Services」(新增服務)

  5. 新增 Dataplex API

  6. 按一下 [儲存]

gcloud

  • 使用 gcloud access-context-manager perimeters update 指令:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    更改下列內容:

    • PERIMETER_ID:perimeter 的 ID 或 perimeter 的完整 ID
    • POLICY_ID:存取權政策的 ID

選用步驟:建立存取層級

如要允許外部存取 perimeter 內部的受保護資源,可以使用存取層級。存取層級僅適用於來自服務範圍外的受保護資源存取要求。您無法使用存取層級,授予受保護資源存取 perimeter 外部資料和服務的權限。

詳情請參閱「允許存取 service perimeter 外的受保護資源」。

後續步驟