Questo documento è destinato agli amministratori della sicurezza e ai data engineer che devono proteggere i servizi Dataplex Universal Catalog. Spiega come utilizzare i Controlli di servizio VPC (VPC-SC) per creare perimetri di servizio che proteggono le risorse del catalogo universale Dataplex e mitigano i rischi di esfiltrazione di dati. Per saperne di più, consulta la panoramica dei Controlli di servizio VPC.
Funzionalità supportate
Quando proteggi Dataplex Universal Catalog con un perimetro di servizio, sono supportate le seguenti funzionalità:
Lake: puoi creare e gestire i lake Dataplex Universal Catalog all'interno del perimetro.
Asset: puoi gestire gli asset all'interno del perimetro.
Risorse di metadati in Catalog: puoi gestire le risorse di metadati all'interno del perimetro.
Esportazione dei metadati: puoi esportare i metadati in Dataproc Metastore, che richiede una configurazione VPC-SC aggiuntiva. Per ulteriori informazioni, consulta Esportare i metadati in Dataproc Metastore.
Data Insights: puoi eseguire scansioni di profilazione dei dati, qualità dei dati e approfondimenti sui metadati.
Derivazione dei dati: puoi monitorare la derivazione dei dati utilizzando l'IP virtuale (VIP) limitato.
Ricerca Dataplex: puoi utilizzare l'API
SearchEntries. Quando utilizzi la ricerca di Dataplex Universal Catalog in un progetto protetto da un perimetro di servizio, i risultati di ricerca includono solo le risorse che si trovano all'interno dello stesso perimetro. Per saperne di più, consulta Ambito di ricerca e Isolare i risultati di ricerca per ambiente utilizzando i Controlli di servizio VPC.
Limitazioni
Puoi creare risorse Dataplex Universal Catalog prima di configurare il perimetro di sicurezza dei Controlli di servizio VPC, ma queste risorse non avranno la protezione del perimetro.
Per progettazione, i Controlli di servizio VPC impediscono alle risorse all'interno di un perimetro di servizio di accedere a dati e servizi al di fuori di questo perimetro. Ad esempio, le scansioni di profilazione e qualità dei dati di Dataplex Universal Catalog non possono accedere a origini dati, come tabelle BigQuery o file Cloud Storage, che si trovano al di fuori deperimetro di servizioio. Analogamente, quando esporti i risultati della scansione dei dati, la tabella BigQuery di destinazione deve trovarsi in un progetto protetto dal perimetro. Per informazioni su come concedere l'accesso alle risorse protette dall'esterno del perimetro, consulta Creare un livello di accesso.
Configura i Controlli di servizio VPC
Per proteggere le risorse di Dataplex Universal Catalog con i Controlli di servizio VPC, segui questi passaggi:
- Configura la rete VPC.
- Crea un perimetro di servizio.
- Aggiungi progetti al perimetro.
- Aggiungi l'API Dataplex al perimetro di servizio.
- (Facoltativo) Crea un livello di accesso.
Configura la rete Virtual Private Cloud (VPC)
Puoi configurare la rete VPC per limitare l'accesso privato Google rispetto a un perimetro di servizio. In questo modo, gli host sulla tua rete VPC o on-premise possono comunicare solo con le API e i servizi Google supportati dai Controlli di servizio VPC in modi conformi alla policy del perimetro associato.
Per ulteriori informazioni, consulta Configurazione della connettività privata alle API e ai servizi Google.
Crea un perimetro di servizio
Quando crei un perimetro di servizio, selezioni i progetti Dataplex Universal Catalog che vuoi proteggere con il perimetro di servizio Controlli di servizio VPC.
Per creare un perimetro di servizio, segui le istruzioni riportate in Creare un perimetro di servizio.
Aggiungi altri progetti al perimetro di servizio
Per aggiungere progetti Dataplex Universal Catalog esistenti al perimetro, segui le istruzioni riportate in Aggiorna un perimetro di servizio.
Aggiungi l'API Dataplex al perimetro di servizio
Per ridurre il rischio di esfiltrazione dei dati da Dataplex Universal Catalog, ad esempio utilizzando i metodi dell'API Dataplex, devi limitare l'API Dataplex.
Per aggiungere l'API Dataplex come servizio con limitazioni, segui questi passaggi:
Console
Nella console Google Cloud , vai alla pagina Controlli di servizio VPC.
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro di servizio che vuoi modificare nella tabella.
Fai clic su Modifica perimetro.
Nella pagina Modifica perimetro di servizio, fai clic su Aggiungi servizi.
Aggiungi l'API Dataplex.
Fai clic su Salva.
gcloud
Utilizza il comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Sostituisci quanto segue:
PERIMETER_ID: l'ID del perimetro o l'identificatore completo del perimetroPOLICY_ID: l'ID della policy di accesso
(Facoltativo) Crea un livello di accesso
Per consentire l'accesso esterno alle risorse protette all'interno di un perimetro, puoi utilizzare i livelli di accesso. I livelli di accesso si applicano solo alle richieste di risorse protette provenienti dall'esterno del perimetro di servizio. Non puoi utilizzare i livelli di accesso per concedere alle risorse protette l'autorizzazione ad accedere a dati e servizi al di fuori del perimetro.
Per saperne di più, consulta Consenti l'accesso alle risorse protette dall'esterno di un perimetro.
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC
- Scopri di più sul controllo dell'controllo dell'accesso Universal Catalog con IAM.
- Scopri di più sulla sicurezza di Dataplex Universal Catalog.