Dokumen ini ditujukan untuk administrator keamanan dan data engineer yang perlu mengamankan layanan Knowledge Catalog (sebelumnya Dataplex Universal Catalog). Dokumen ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource Knowledge Catalog Anda dan mengurangi risiko eksfiltrasi data. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.
Fitur yang didukung
Saat Anda mengamankan Knowledge Catalog dengan perimeter layanan, fitur berikut akan didukung:
Data lake: Anda dapat membuat dan mengelola data lake Knowledge Catalog dalam perimeter.
Aset: Anda dapat mengelola aset dalam perimeter.
Resource metadata di Katalog: Anda dapat mengelola resource metadata dalam perimeter.
Ekspor metadata: Anda dapat mengekspor metadata ke Dataproc Metastore, yang memerlukan konfigurasi Kontrol Layanan VPC tambahan. Untuk mengetahui informasi selengkapnya, lihat Kontrol Layanan VPC.
Insight data: Anda dapat menjalankan pemindaian pembuatan profil data, kualitas data, dan metadata insight.
Silsilah data: Anda dapat melacak silsilah data menggunakan Virtual IP (VIP) yang dibatasi.
Penelusuran Knowledge Catalog: Anda dapat menggunakan
SearchEntriesAPI. Saat Anda menggunakan penelusuran Knowledge Catalog dalam project yang dilindungi oleh perimeter layanan, hasil penelusuran hanya menyertakan resource yang berada dalam perimeter yang sama. Untuk mengetahui informasi selengkapnya, lihat Cakupan penelusuran dan Mengisolasi hasil penelusuran menurut lingkungan menggunakan Kontrol Layanan VPC.Produk data (Pratinjau): Anda dapat menggunakan Kontrol Layanan VPC untuk mengamankan produk data, sehingga memastikan komunikasi antara produk data, aset data konstituennya (seperti tabel BigQuery), dan pengguna tetap berada dalam perimeter yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Kontrol Layanan VPC dengan produk data.
Penelusuran Knowledge Catalog dan Kontrol Layanan VPC
Saat Anda menggunakan penelusuran Knowledge Catalog dalam project yang dilindungi oleh perimeter layanan, hasil penelusuran hanya menyertakan resource yang berada dalam project yang sama dengan tempat penelusuran dilakukan.
Untuk menyertakan resource dari project lain yang berada dalam perimeter layanan yang sama, Anda harus mengonfigurasi aturan egress Kontrol Layanan VPC untuk project pemanggil Knowledge Catalog. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan ingress dan egress. Aturan ini memungkinkan hasil penelusuran melintasi batas project dalam perimeter.
Contoh berikut menunjukkan konfigurasi kebijakan egress yang memungkinkan hasil penelusuran menyertakan resource BigQuery dari project A saat penelusuran dilakukan dari project B:
egressPolicies:
- egressFrom:
identityType: ANY_USER_ACCOUNT
egressTo:
operations:
- serviceName: bigquery.googleapis.com
methodSelectors:
- method: '*'
resources:
- projects/projectA
Saat Anda melakukan penelusuran Knowledge Catalog di project B, Knowledge Catalog akan memanggil BigQuery API untuk menemukan aset di project A. Kebijakan ini secara eksplisit mengizinkan akun pengguna di project B untuk melakukan panggilan BigQuery API terhadap project A, sehingga aset BigQuery dari project A dapat muncul di hasil penelusuran Knowledge Catalog Anda.
Batasan
Anda dapat membuat resource Knowledge Catalog sebelum menyiapkan perimeter keamanan Kontrol Layanan VPC, tetapi resource tersebut tidak akan memiliki perlindungan perimeter.
Menurut desainnya, Kontrol Layanan VPC mencegah resource dalam perimeter layanan mengakses data dan layanan di luar perimeter tersebut. Misalnya, pemindaian pembuatan profil data dan kualitas data Knowledge Catalog tidak dapat mengakses sumber data, seperti tabel BigQuery atau file Cloud Storage, yang berada di luar perimeter layanan. Demikian pula, saat mengekspor hasil pemindaian data, tabel BigQuery tujuan harus berada dalam project yang dilindungi oleh perimeter. Untuk mengetahui informasi tentang cara memberikan akses ke resource yang dilindungi dari luar perimeter, lihat Membuat tingkat akses.
Menyiapkan Kontrol Layanan VPC
Untuk melindungi resource Knowledge Catalog dengan Kontrol Layanan VPC, lakukan langkah-langkah berikut:
- Konfigurasi jaringan VPC.
- Buat perimeter layanan.
- Tambahkan project ke perimeter.
- Tambahkan Dataplex API ke perimeter layanan.
- Opsional: Buat tingkat akses.
Mengonfigurasi jaringan Virtual Private Cloud (VPC)
Anda dapat mengonfigurasi Jaringan VPC untuk membatasi Akses Google Pribadi terkait dengan perimeter layanan. Hal ini memastikan bahwa host di VPC atau jaringan lokal Anda hanya dapat berkomunikasi dengan Google API dan layanan yang didukung oleh Kontrol Layanan VPC dengan cara yang sesuai dengan kebijakan perimeter terkait.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan.
Membuat perimeter layanan
Saat membuat perimeter layanan, Anda memilih project Knowledge Catalog yang ingin dilindungi oleh perimeter layanan Kontrol Layanan VPC.
Untuk membuat perimeter layanan, ikuti petunjuk di Membuat perimeter layanan.
Menambahkan lebih banyak project ke perimeter layanan
Untuk menambahkan project Knowledge Catalog yang ada ke perimeter, ikuti petunjuk di Memperbarui perimeter layanan.
Menambahkan Dataplex API ke perimeter layanan
Untuk mengurangi risiko data Anda dieksfiltrasi dari Knowledge Catalog, misalnya, menggunakan metode Dataplex API, Anda harus membatasi Dataplex API.
Untuk menambahkan Dataplex API sebagai layanan yang dibatasi, ikuti langkah-langkah berikut:
Konsol
Di Google Cloud konsol, buka halaman VPC Service Controls.
Di halaman Kontrol Layanan VPC, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.
Klik Edit Perimeter.
Di halaman Edit Service Perimeter , klik Add Services.
Tambahkan Dataplex API.
Klik Save.
gcloud
Gunakan perintah
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Ganti kode berikut:
PERIMETER_ID: ID perimeter atau ID yang sepenuhnya memenuhi syarat untuk perimeterPOLICY_ID: ID kebijakan akses
Opsional: Membuat tingkat akses
Untuk mengizinkan akses eksternal ke resource yang dilindungi di dalam perimeter, Anda dapat menggunakan tingkat akses. Level akses hanya diterapkan pada permintaan untuk resource yang dilindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin resource yang dilindungi untuk mengakses data dan layanan di luar perimeter.
Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Langkah berikutnya
- Pelajari lebih lanjut tentang Kontrol Layanan VPC.
- Pelajari lebih lanjut kontrol akses Knowledge Catalog dengan IAM.
- Pelajari lebih lanjut keamanan Knowledge Catalog.