Kontrol Layanan VPC dengan Katalog Universal Dataplex

Dokumen ini ditujukan untuk administrator keamanan dan data engineer yang perlu mengamankan layanan Dataplex Universal Catalog. Dokumen ini menjelaskan cara menggunakan Kontrol Layanan VPC (VPC-SC) untuk membuat perimeter layanan yang melindungi resource Dataplex Universal Catalog Anda dan mengurangi risiko pemindahan data yang tidak sah. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.

Fitur yang didukung

Saat Anda mengamankan Dataplex Universal Catalog dengan perimeter layanan, fitur berikut didukung:

  • Data lake: Anda dapat membuat dan mengelola data lake Dataplex Universal Catalog dalam perimeter.

  • Aset: Anda dapat mengelola aset dalam perimeter.

  • Resource metadata di Katalog: Anda dapat mengelola resource metadata dalam perimeter.

  • Ekspor metadata: Anda dapat mengekspor metadata ke Dataproc Metastore, yang memerlukan konfigurasi VPC-SC tambahan. Untuk mengetahui informasi selengkapnya, lihat Mengekspor metadata ke Dataproc Metastore.

  • Insight Data: Anda dapat menjalankan pemindaian insight metadata, kualitas data, dan pembuatan profil data.

  • Silsilah Data: Anda dapat melacak silsilah data dengan menggunakan Virtual IP (VIP) terbatas.

  • Penelusuran Dataplex: Anda dapat menggunakan SearchEntries API. Saat Anda menggunakan penelusuran Dataplex Universal Catalog dalam project yang dilindungi oleh perimeter layanan, hasil penelusuran hanya mencakup resource yang berada dalam perimeter yang sama. Untuk mengetahui informasi selengkapnya, lihat Cakupan penelusuran dan Mengisolasi hasil penelusuran berdasarkan lingkungan menggunakan Kontrol Layanan VPC.

Batasan

Anda dapat membuat resource Dataplex Universal Catalog sebelum menyiapkan perimeter keamanan Kontrol Layanan VPC, tetapi resource tersebut tidak akan memiliki perlindungan perimeter.

Menurut desainnya, Kontrol Layanan VPC mencegah resource dalam perimeter layanan mengakses data dan layanan di luar perimeter tersebut. Misalnya, pemindaian kualitas data dan pembuatan profil data Dataplex Universal Catalog tidak dapat mengakses sumber data, seperti tabel BigQuery atau file Cloud Storage, yang berada di luar perimeter layanan. Demikian pula, saat mengekspor hasil pemindaian data, tabel BigQuery tujuan harus berada dalam project yang dilindungi oleh perimeter. Untuk mengetahui informasi tentang cara memberikan akses ke resource terlindungi Anda dari luar perimeter, lihat Membuat tingkat akses.

Menyiapkan Kontrol Layanan VPC

Untuk melindungi resource Dataplex Universal Catalog dengan Kontrol Layanan VPC, lakukan langkah-langkah berikut:

  1. Konfigurasi jaringan VPC.
  2. Buat perimeter layanan.
  3. Tambahkan project ke perimeter.
  4. Tambahkan Dataplex API ke perimeter layanan.
  5. Opsional: Buat tingkat akses.

Mengonfigurasi jaringan Virtual Private Cloud (VPC)

Anda dapat mengonfigurasi jaringan VPC untuk membatasi Akses Google Pribadi sehubungan dengan perimeter layanan. Hal ini memastikan bahwa host di VPC atau jaringan lokal Anda hanya dapat berkomunikasi dengan Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC dengan cara yang sesuai dengan kebijakan perimeter terkait.

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google.

Membuat perimeter layanan

Saat membuat perimeter layanan, Anda memilih project Dataplex Universal Catalog yang ingin dilindungi oleh perimeter layanan Kontrol Layanan VPC.

Untuk membuat perimeter layanan, ikuti petunjuk di Membuat perimeter layanan.

Menambahkan lebih banyak project ke perimeter layanan

Untuk menambahkan project Dataplex Universal Catalog yang ada ke perimeter, ikuti petunjuk di bagian Memperbarui perimeter layanan.

Menambahkan Dataplex API ke perimeter layanan

Untuk memitigasi risiko data Anda diekstraksi dari Dataplex Universal Catalog, misalnya, menggunakan metode Dataplex API, Anda harus membatasi Dataplex API.

Untuk menambahkan Dataplex API sebagai layanan terbatas, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman VPC Service Controls.

    Buka VPC Service Controls

  2. Di halaman VPC Service Controls, pada tabel yang ada, klik nama perimeter layanan yang ingin Anda ubah.

  3. Klik Edit Perimeter.

  4. Di halaman Edit Service Perimeter, klik Add Services.

  5. Tambahkan Dataplex API.

  6. Klik Simpan.

gcloud

  • Gunakan perintah gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    Ganti kode berikut:

    • PERIMETER_ID: ID perimeter atau ID yang memenuhi syarat sepenuhnya untuk perimeter
    • POLICY_ID: ID kebijakan akses

Opsional: Buat tingkat akses

Untuk mengizinkan akses eksternal ke resource yang dilindungi di dalam perimeter, Anda dapat menggunakan tingkat akses. Tingkat akses hanya berlaku untuk permintaan resource yang dilindungi yang berasal dari luar perimeter layanan. Anda tidak dapat menggunakan tingkat akses untuk memberikan izin kepada resource terlindungi agar dapat mengakses data dan layanan di luar perimeter.

Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Langkah berikutnya