Dieses Dokument richtet sich an Sicherheitsadministratoren und Data Engineers, die Knowledge Catalog-Dienste (ehemals Dataplex Universal Catalog) schützen müssen. Es wird erläutert, wie Sie mit VPC Service Controls Dienstperimeter erstellen, die Ihre Knowledge Catalog-Ressourcen schützen und das Risiko einer unbefugten Datenweitergabe minimieren. Weitere Informationen finden Sie unter VPC Service Controls.
Unterstützte Features
Wenn Sie Knowledge Catalog mit einem Dienstperimeter schützen, werden die folgenden Features unterstützt:
Lakes: Sie können Knowledge Catalog-Lakes innerhalb von dem Perimeter erstellen und verwalten.
Assets: Sie können Assets innerhalb des Perimeters verwalten.
Metadatenressourcen im Katalog: Sie können Metadatenressourcen innerhalb des Perimeters verwalten.
Metadatenexport: Sie können Metadaten in Dataproc Metastore exportieren. Dazu ist eine zusätzliche VPC Service Controls-Konfiguration erforderlich. Weitere Informationen finden Sie unter VPC Service Controls.
Datenanalysen: Sie können Datenprofilerstellungs-, Datenqualitäts- und Metadaten analysescans ausführen.
Data Lineage: Sie können Data Lineage mit der eingeschränkten virtuellen IP-Adresse (VIP) verfolgen.
Knowledge Catalog-Suche: Sie können die
SearchEntriesAPI verwenden. Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Dienstperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die sich im selben Perimeter befinden. Weitere Informationen finden Sie unter Such bereich und Suchergebnisse mit VPC Service Controls nach Umgebung isolieren.Datenprodukte (Vorschau): Sie können Datenprodukte mit VPC Service Controls schützen und so sicherstellen, dass die Kommunikation zwischen dem Datenprodukt, den zugehörigen Daten-Assets (z. B. BigQuery-Tabellen) und Nutzern innerhalb autorisierter Perimeter bleibt. Weitere Informationen finden Sie unter VPC Service Controls mit Datenprodukten verwenden.
Knowledge Catalog-Suche und VPC Service Controls
Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Dienstperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die zum selben Projekt gehören, unter dem die Suche ausgeführt wird.
Wenn Sie Ressourcen aus anderen Projekten einbeziehen möchten, die sich im selben Dienstperimeter befinden, müssen Sie VPC Service Controls-Regeln für ausgehenden Traffic für das Knowledge Catalog-Aufruferprojekt konfigurieren. Weitere Informationen finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren. Mit diesen Regeln können die Suchergebnisse Projektgrenzen innerhalb des Perimeters überschreiten.
Das folgende Beispiel zeigt eine Konfiguration für ausgehenden Traffic, mit der Suchergebnisse BigQuery-Ressourcen aus project A enthalten können, wenn die Suche von project B aus ausgeführt wird:
egressPolicies:
- egressFrom:
identityType: ANY_USER_ACCOUNT
egressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: '*'
resources:
- projects/projectA
Wenn Sie in project B eine Knowledge Catalog-Suche ausführen, ruft Knowledge Catalog die BigQuery API auf, um Assets in project A zu finden. Diese Richtlinie erlaubt ausdrücklich jedem Nutzerkonto in project B, BigQuery API-Aufrufe für project A auszuführen, sodass BigQuery-Assets aus project A in den Knowledge Catalog-Suchergebnissen angezeigt werden können.
Beschränkungen
Sie können Knowledge Catalog-Ressourcen erstellen, bevor Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Diese Ressourcen sind dann jedoch nicht durch den Perimeter geschützt.
VPC Service Controls verhindert standardmäßig, dass Ressourcen innerhalb eines Dienstperimeters auf Daten und Dienste außerhalb dieses Perimeters zugreifen. Beispielsweise können Knowledge Catalog-Datenprofilerstellungs- und Datenqualitätsscans nicht auf Datenquellen wie BigQuery-Tabellen oder Cloud Storage-Dateien zugreifen, die sich außerhalb des Dienstperimeters befinden. Wenn Sie Daten-Scanergebnisse exportieren, muss sich die Ziel-BigQuery-Tabelle in einem Projekt befinden, das durch den Perimeter geschützt ist. Informationen zum Gewähren des Zugriffs auf Ihre geschützten Ressourcen von außerhalb des Perimeters finden Sie unter Zugriffsebene erstellen.
VPC Service Controls einrichten
So schützen Sie Knowledge Catalog-Ressourcen mit VPC Service Controls:
- Konfigurieren Sie das VPC-Netzwerk.
- Erstellen Sie einen Dienstperimeter.
- Fügen Sie dem Perimeter Projekte hinzu.
- Fügen Sie die Dataplex API dem Dienstperimeter hinzu.
- Optional: Erstellen Sie eine Zugriffsebene.
VPC-Netzwerk (Virtual Private Cloud) konfigurieren
Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und -Diensten kommunizieren können, die von VPC Service Controls unterstützt werden, und zwar auf eine Weise, die der Richtlinie des zugehörigen Perimeters entspricht.
Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.
Dienstperimeter erstellen
Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Knowledge Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Weitere Projekte zum Dienstperimeter hinzufügen
Wenn Sie dem Perimeter vorhandene Knowledge Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Dataplex API dem Dienstperimeter hinzufügen
Um das Risiko zu minimieren, dass Ihre Daten aus Knowledge Catalog exfiltriert werden, z. B. mithilfe von Dataplex API-Methoden, müssen Sie die Dataplex API einschränken.
So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:
Console
Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Dienste hinzufügen.
Fügen Sie die Dataplex API hinzu.
Klicken Sie auf Speichern.
gcloud
Führen Sie den Befehl
gcloud access-context-manager perimeters updateaus:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Ersetzen Sie Folgendes:
PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den PerimeterPOLICY_ID: die ID der Zugriffsrichtlinie
Optional: Zugriffsebene erstellen
Sie können Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zu gewähren. Zugriffsebenen gelten nur für Anfragen, die von außerhalb des Dienstperimeters kommen und an geschützte Ressourcen gehen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zu erteilen, auf Daten und Dienste außerhalb des Perimeters zuzugreifen.
Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
Nächste Schritte
- Learn more about VPC Service Controls.
- Erfahren Sie mehr über die Knowledge Catalog-Zugriffssteuerung mit IAM.
- Erfahren Sie mehr über Knowledge Catalog-Sicherheit.