Dieses Dokument richtet sich an Sicherheitsadministratoren und Data Engineers, die Knowledge Catalog-Dienste (früher Dataplex Universal Catalog) schützen müssen. Darin wird beschrieben, wie Sie mit VPC Service Controls Dienstperimeter erstellen, die Ihre Knowledge Catalog-Ressourcen schützen und das Risiko einer Daten-Exfiltration verringern. Weitere Informationen finden Sie unter VPC Service Controls.
Unterstützte Features
Wenn Sie Knowledge Catalog mit einem Dienstperimeter schützen, werden die folgenden Funktionen unterstützt:
Lakes: Sie können Knowledge Catalog-Lakes innerhalb des Perimeters erstellen und verwalten.
Assets: Sie können Assets innerhalb des Perimeters verwalten.
Metadatenressourcen im Katalog: Sie können Metadatenressourcen innerhalb des Perimeters verwalten.
Metadatenexport: Sie können Metadaten in Dataproc Metastore exportieren. Dazu ist eine zusätzliche VPC Service Controls-Konfiguration erforderlich. Weitere Informationen finden Sie unter Metadaten in Dataproc Metastore exportieren.
Daten-Insights: Sie können Scans für Datenprofilerstellung, Datenqualität und Metadaten-Insights ausführen.
Datenherkunft: Sie können die Datenherkunft mithilfe der eingeschränkten virtuellen IP-Adresse (VIP) nachverfolgen.
Knowledge Catalog Search: Sie können die
SearchEntriesAPI verwenden. Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Dienstperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die sich im selben Perimeter befinden. Weitere Informationen finden Sie unter Suchbereich und Suchergebnisse nach Umgebung mit VPC Service Controls isolieren.Datenprodukte (Vorabversion): Sie können VPC Service Controls verwenden, um Datenprodukte zu schützen. So wird dafür gesorgt, dass die Kommunikation zwischen dem Datenprodukt, den zugehörigen Daten-Assets (z. B. BigQuery-Tabellen) und Nutzern innerhalb autorisierter Perimeters bleibt. Weitere Informationen finden Sie unter VPC Service Controls mit Datenprodukten verwenden.
Beschränkungen
Sie können Knowledge Catalog-Ressourcen erstellen, bevor Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Diese Ressourcen sind dann jedoch nicht durch den Perimeter geschützt.
VPC Service Controls verhindert, dass Ressourcen innerhalb eines Dienstperimeters auf Daten und Dienste außerhalb dieses Perimeters zugreifen. Beispielsweise kann für das Datenprofiling und die Datenqualitätsprüfungen von Knowledge Catalog nicht auf Datenquellen wie BigQuery-Tabellen oder Cloud Storage-Dateien zugegriffen werden, die sich außerhalb des Serviceperimeters befinden. Wenn Sie die Ergebnisse des Datenscans exportieren, muss sich die BigQuery-Tabelle in einem Projekt befinden, das durch den Perimeter geschützt ist. Informationen zum Gewähren des Zugriffs auf Ihre geschützten Ressourcen von außerhalb des Perimeters finden Sie unter Zugriffsebene erstellen.
VPC Service Controls einrichten
So schützen Sie Knowledge Catalog-Ressourcen mit VPC Service Controls:
- VPC-Netzwerk konfigurieren
- Dienstperimeter erstellen
- Projekte dem Perimeter hinzufügen
- Dataplex API zum Dienstperimeter hinzufügen
- Optional: Zugriffsebene erstellen
VPC-Netzwerk (Virtual Private Cloud) konfigurieren
Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur auf eine Weise mit Google APIs und Diensten kommunizieren können, die von VPC Service Controls unterstützt wird und der Richtlinie des zugehörigen Perimeters entspricht.
Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.
Dienstperimeter erstellen
Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Knowledge Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Weitere Projekte zum Dienstperimeter hinzufügen
Wenn Sie dem Perimeter vorhandene Knowledge Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Dataplex API zum Dienstperimeter hinzufügen
Um das Risiko zu minimieren, dass Ihre Daten aus Knowledge Catalog exfiltriert werden, z. B. mithilfe von Dataplex API-Methoden, müssen Sie die Dataplex API einschränken.
So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:
Console
Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Dienste hinzufügen.
Fügen Sie die Dataplex API hinzu.
Klicken Sie auf Speichern.
gcloud
Führen Sie den Befehl
gcloud access-context-manager perimeters updateaus:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Ersetzen Sie Folgendes:
PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den PerimeterPOLICY_ID: die ID der Zugriffsrichtlinie
Optional: Zugriffsebene erstellen
Mit Zugriffsebenen können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.
Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
Nächste Schritte
- VPC Service Controls
- Knowledge Catalog-Zugriffssteuerung mit IAM
- Weitere Informationen zur Knowledge Catalog-Sicherheit