Dataplex Universal Catalog를 사용한 VPC 서비스 제어

이 문서에서는 VPC 서비스 제어(VPC-SC)를 사용하여 Dataplex Universal Catalog 서비스를 보호하는 방법을 설명합니다.

VPC 서비스 제어는 Dataplex Universal Catalog 서비스 보안을 강화하여 데이터 무단 반출 위험을 완화합니다. VPC 서비스 제어를 사용하면 서비스 경계에 프로젝트를 추가하여 경계를 통과하는 요청으로부터 리소스와 서비스를 보호할 수 있습니다. 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

Dataplex Universal Catalog 리소스는 dataplex.googleapis.com API에 노출되므로 서비스 만들기 및 삭제와 같은 서비스 수준 작업을 수행할 수 있습니다. 이 API 노출 영역에 대한 연결을 제한하여 Dataplex Universal Catalog로 VPC 서비스 제어를 설정합니다.

지원되는 기능

서비스 경계로 Dataplex Universal Catalog를 보호하면 다음 기능이 지원됩니다.

  • 레이크: 경계 내에서 Dataplex Universal Catalog 레이크를 만들고 관리할 수 있습니다.

  • 애셋: 경계 내에서 애셋을 관리할 수 있습니다.

  • 카탈로그의 메타데이터 리소스: 경계 내에서 메타데이터 리소스를 관리할 수 있습니다.

  • 메타데이터 내보내기: 메타데이터를 Dataproc Metastore로 내보낼 수 있습니다. 이 경우 VPC-SC를 추가로 구성해야 합니다. 자세한 내용은 Dataproc Metastore로 메타데이터 내보내기를 참조하세요.

  • 데이터 통계: 데이터 프로파일링, 데이터 품질, 메타데이터 통계 스캔을 실행할 수 있습니다.

  • 데이터 계보: 제한된 가상 IP(VIP)를 사용하여 데이터 계보를 추적할 수 있습니다.

  • Dataplex 검색: SearchEntries API를 사용할 수 있습니다. 서비스 경계로 보호되는 프로젝트에서 Dataplex Universal Catalog 검색을 사용하면 검색 결과에는 같은 경계 내에 있는 리소스만 포함됩니다. 자세한 내용은 검색 범위VPC 서비스 제어를 사용하여 환경별로 검색 결과 격리를 참조하세요.

제한사항

VPC 서비스 제어 보안 경계를 설정하기 전에 Dataplex Universal Catalog 리소스를 만들 수 있지만 이러한 리소스에는 경계 보호가 적용되지 않습니다.

VPC 서비스 제어는 서비스 경계 내의 리소스가 해당 경계 외부에 있는 데이터와 서비스에 액세스하지 못하도록 설계되었습니다. 예를 들어 Dataplex Universal Catalog 데이터 프로파일링과 데이터 품질 스캔은 서비스 경계 외부에 있는 BigQuery 테이블이나 Cloud Storage 파일과 같은 데이터 소스에 액세스할 수 없습니다. 마찬가지로 데이터 스캔 결과를 내보낼 때 대상 BigQuery 테이블이 경계로 보호되는 프로젝트에 있어야 합니다. 서비스 경계 외부에서 보호된 리소스에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 액세스 수준 만들기를 참조하세요.

VPC 서비스 제어 설정

VPC 서비스 제어로 Dataplex Universal Catalog 리소스를 보호하려면 다음 단계를 수행합니다.

  1. VPC 네트워크를 구성합니다.
  2. 서비스 경계를 만듭니다.
  3. 경계에 프로젝트를 추가합니다.
  4. 서비스 경계에 Dataplex API를 추가합니다.
  5. 선택사항: 액세스 수준을 만듭니다.

가상 프라이빗 클라우드(VPC) 네트워크 구성

서비스 경계에 따라 비공개 Google 액세스가 제한되도록 VPC 네트워크를 구성할 수 있습니다. 이렇게 하면 VPC 또는 온프레미스 네트워크의 호스트가 관련 경계 정책을 준수하는 방식으로 VPC 서비스 제어에서 지원되는 Google API 및 서비스와만 통신할 수 있습니다.

자세한 내용은 Google API 및 서비스로 비공개 연결 설정을 참조하세요.

서비스 경계 만들기

서비스 경계를 만들 때 VPC 서비스 제어 서비스 경계에서 보호할 Dataplex Universal Catalog 프로젝트를 선택합니다.

서비스 경계를 만들려면 서비스 경계 만들기의 안내를 따르세요.

서비스 경계에 프로젝트 추가

기존 Dataplex Universal Catalog 프로젝트를 경계에 추가하려면 서비스 경계 업데이트의 안내를 따르세요.

서비스 경계에 Dataplex API 추가

Dataplex Universal Catalog에서 데이터 무단 반출 위험을 완화하려면(예: Dataplex API 메서드 사용) Dataplex API를 제한해야 합니다.

Dataplex API를 제한된 서비스로 추가하려면 다음 단계를 수행합니다.

콘솔

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  2. VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.

  3. 경계 수정을 클릭합니다.

  4. 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.

  5. Dataplex API를 추가합니다.

  6. 저장을 클릭합니다.

gcloud

  • gcloud access-context-manager perimeters update 명령어를 사용합니다.

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    다음을 바꿉니다.

    • PERIMETER_ID: 경계 ID 또는 경계의 정규화된 식별자
    • POLICY_ID: 액세스 정책 ID

선택사항: 액세스 수준 만들기

경계 내에서 보호되는 리소스에 대한 외부 액세스를 허용하려면 액세스 수준을 사용하면 됩니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준을 사용하여 보호된 리소스에 경계 외부에 있는 데이터와 서비스에 액세스할 수 있는 권한을 부여할 수 없습니다.

자세한 내용은 서비스 경계 외부에서 보호된 리소스에 액세스 허용을 참조하세요.

다음 단계