Este documento está dirigido a los administradores de seguridad y los ingenieros de datos que necesitan proteger los servicios de Dataplex Universal Catalog. En este documento, se explica cómo usar los Controles del servicio de VPC (VPC-SC) para crear perímetros de servicio que protejan tus recursos del catálogo universal de Dataplex y mitiguen los riesgos de robo de datos. Para obtener más información, consulta la descripción general de los Controles del servicio de VPC.
Funciones admitidas
Cuando proteges Dataplex Universal Catalog con un perímetro de servicio, se admiten las siguientes funciones:
Lakes: Puedes crear y administrar lakes de Dataplex Universal Catalog dentro del perímetro.
Recursos: Puedes administrar recursos dentro del perímetro.
Recursos de metadatos en Catalog: Puedes administrar recursos de metadatos dentro del perímetro.
Exportación de metadatos: Puedes exportar metadatos a Dataproc Metastore, lo que requiere una configuración adicional de VPC-SC. Para obtener más información, consulta Cómo exportar metadatos a Dataproc Metastore.
Estadísticas de datos: Puedes ejecutar análisis de estadísticas de perfiles de datos, calidad de los datos y metadatos.
Linaje de datos: Puedes hacer un seguimiento del linaje de datos con la IP virtual (VIP) restringida.
Búsqueda de Dataplex: Puedes usar la API de
SearchEntries. Cuando usas la búsqueda de Dataplex Universal Catalog en un proyecto protegido por un perímetro de servicio, los resultados de la búsqueda incluyen solo los recursos que se encuentran dentro del mismo perímetro. Para obtener más información, consulta Alcance de la búsqueda y Cómo aislar los resultados de la búsqueda por entorno con los Controles del servicio de VPC.
Limitaciones
Puedes crear recursos de Dataplex Universal Catalog antes de configurar el perímetro de seguridad de los Controles del servicio de VPC, pero esos recursos no tendrán protección perimetral.
Por diseño, los Controles del servicio de VPC impiden que los recursos dentro de un perímetro de servicio accedan a datos y servicios fuera de ese perímetro. Por ejemplo, los análisis de calidad y los perfiles de datos de Dataplex Universal Catalog no pueden acceder a fuentes de datos, como tablas de BigQuery o archivos de Cloud Storage, que se encuentran fuera del perímetro del servicio. Del mismo modo, cuando exportes los resultados del análisis de datos, la tabla de BigQuery de destino debe estar en un proyecto protegido por el perímetro. Para obtener información sobre cómo otorgar acceso a tus recursos protegidos desde fuera del perímetro, consulta Crea un nivel de acceso.
Configura los Controles del servicio de VPC
Para proteger los recursos de Dataplex Universal Catalog con los Controles del servicio de VPC, sigue estos pasos:
- Configura la red de VPC.
- Crear un perímetro de servicio
- Agrega proyectos al perímetro.
- Agrega la API de Dataplex al perímetro de servicio.
- Opcional: Crea un nivel de acceso.
Configura la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el Acceso privado a Google con respecto a un perímetro de servicio. Esto garantiza que los hosts en tu VPC o en la red local solo puedan comunicarse con las APIs y los servicios de Google que son compatibles con los Controles del servicio de VPC de manera que se ajusten a la política del perímetro asociado.
Para obtener más información, consulta Cómo configurar una conectividad privada en los servicios y las API de Google.
Crea un perímetro de servicio
Cuando creas un perímetro de servicio, seleccionas los proyectos del catálogo universal de Dataplex que deseas que proteja el perímetro de servicio de los Controles del servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones en Crea un perímetro de servicio.
Agrega más proyectos al perímetro de servicio
Para agregar proyectos existentes de Dataplex Universal Catalog al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.
Agrega la API de Dataplex al perímetro de servicio
Para mitigar el riesgo de que tus datos se filtren desde Dataplex Universal Catalog, por ejemplo, con los métodos de la API de Dataplex, debes restringir la API de Dataplex.
Para agregar la API de Dataplex como un servicio restringido, sigue estos pasos:
Console
En la consola de Google Cloud , ve a la página Controles del servicio de VPC.
En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio, haz clic en Agregar servicios.
Agrega la API de Dataplex.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Reemplaza lo siguiente:
PERIMETER_ID: ID del perímetro o el identificador completamente calificado del perímetroPOLICY_ID: El ID de la política de acceso
Opcional: Crea un nivel de acceso
Para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso a fin de otorgar permisos a los recursos protegidos para acceder a los datos y servicios fuera del perímetro.
Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.
¿Qué sigue?
- Obtén más información sobre los controles de servicio de VPC.
- Obtén más información sobre el control de acceso de Dataplex Universal Catalog con IAM.
- Obtén más información sobre la seguridad de Dataplex Universal Catalog.