Dataplex Universal Catalog를 사용한 VPC 서비스 제어

이 문서에서는 VPC 서비스 제어(VPC-SC)를 사용하여 Dataplex Universal Catalog 서비스를 보호하는 방법을 설명합니다.

VPC 서비스 제어는 Dataplex Universal Catalog 서비스에 추가적인 보안을 제공하여 데이터 무단 반출 위험을 줄여 줍니다. VPC 서비스 제어를 사용하면 서비스 경계를 지나는 요청으로부터 리소스 및 서비스를 보호하는 서비스 경계에 프로젝트를 추가할 수 있습니다. 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

Dataplex Universal Catalog 리소스는 서비스 만들기 및 삭제와 같은 서비스 수준 작업을 수행할 수 있도록 dataplex.googleapis.com API에 노출됩니다. 이 API 표면에 대한 연결을 제한하여 Dataplex Universal Catalog로 VPC 서비스 제어를 설정합니다.

지원되는 기능

서비스 경계로 Dataplex Universal Catalog를 보호하면 다음 기능이 지원됩니다.

  • 레이크: 경계 내에서 Dataplex Universal Catalog 레이크를 만들고 관리할 수 있습니다.

  • 애셋: 경계 내에서 애셋을 관리할 수 있습니다.

  • 카탈로그의 메타데이터 리소스: 경계 내에서 메타데이터 리소스를 관리할 수 있습니다.

  • 메타데이터 내보내기: 메타데이터를 Dataproc Metastore로 내보낼 수 있습니다. 이 경우 추가 VPC-SC 구성이 필요합니다. 자세한 내용은 Dataproc Metastore로 메타데이터 내보내기를 참고하세요.

  • 데이터 통계: 데이터 프로파일링, 데이터 품질, 메타데이터 통계 스캔을 실행할 수 있습니다.

  • 데이터 계보: 제한된 가상 IP (VIP)를 사용하여 데이터 계보를 추적할 수 있습니다.

  • Dataplex 검색: SearchEntries API를 사용할 수 있습니다. 서비스 경계로 보호되는 프로젝트에서 Dataplex Universal Catalog 검색을 사용하면 검색 결과에 동일한 경계 내에 있는 리소스만 포함됩니다. 자세한 내용은 검색 범위VPC 서비스 제어를 사용하여 환경별로 검색 결과 격리를 참고하세요.

제한사항

VPC 서비스 제어 보안 경계를 설정하기 전에 Dataplex Universal Catalog 리소스를 만들 수 있지만 이러한 리소스에는 경계 보호가 적용되지 않습니다.

VPC 서비스 제어는 서비스 경계 내의 리소스가 해당 경계 외부의 데이터 및 서비스에 액세스하지 못하도록 설계되었습니다. 예를 들어 Dataplex Universal Catalog 데이터 프로파일링 및 데이터 품질 스캔은 서비스 경계 외부에 있는 BigQuery 테이블 또는 Cloud Storage 파일과 같은 데이터 소스에 액세스할 수 없습니다. 마찬가지로 데이터 스캔 결과를 내보낼 때 대상 BigQuery 테이블이 경계로 보호되는 프로젝트에 있어야 합니다. 서비스 경계 외부에서 보호된 리소스에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 액세스 수준 만들기를 참고하세요.

VPC 서비스 제어 설정

VPC 서비스 제어로 Dataplex Universal Catalog 리소스를 보호하려면 다음 단계를 따르세요.

  1. VPC 네트워크를 구성합니다.
  2. 서비스 경계를 만듭니다.
  3. 경계에 프로젝트 추가
  4. 서비스 경계에 Dataplex API를 추가합니다.
  5. 선택사항: 액세스 수준 만들기

Virtual Private Cloud(VPC) 네트워크 구성

서비스 경계에 따라 비공개 Google 액세스를 제한하도록 VPC 네트워크를 구성할 수 있습니다. 이렇게 하면 VPC 또는 온프레미스 네트워크의 호스트가 연관된 경계 정책을 준수하는 방식으로 VPC 서비스 제어에서 지원되는 Google API 및 서비스와만 통신할 수 있습니다.

자세한 내용은 Google API 및 서비스 비공개 연결 설정을 참조하세요.

서비스 경계 만들기

서비스 경계를 만들 때 VPC 서비스 제어 서비스 경계에서 보호할 Dataplex Universal Catalog 프로젝트를 선택합니다.

서비스 경계를 만들려면 서비스 경계 만들기의 안내를 따르세요.

서비스 경계에 프로젝트 추가

기존 Dataplex Universal Catalog 프로젝트를 경계에 추가하려면 서비스 경계 업데이트의 안내를 따르세요.

서비스 경계에 Dataplex API 추가

Dataplex Universal Catalog에서 데이터 무단 반출 위험을 완화하려면(예: Dataplex API 메서드 사용) Dataplex API를 제한해야 합니다.

Dataplex API를 제한된 서비스로 추가하려면 다음 단계를 수행합니다.

콘솔

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  2. VPC 서비스 제어 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.

  3. 경계 수정을 클릭합니다.

  4. 서비스 경계 수정 페이지에서 서비스 추가를 클릭합니다.

  5. Dataplex API를 추가합니다.

  6. 저장을 클릭합니다.

gcloud

  • gcloud access-context-manager perimeters update 명령어를 사용합니다.

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    다음을 바꿉니다.

    • PERIMETER_ID: 경계의 ID 또는 경계의 정규화된 식별자
    • POLICY_ID: 액세스 정책 ID

선택사항: 액세스 수준 만들기

경계 내의 보호된 리소스에 대한 외부 액세스를 허용하려면 액세스 수준을 사용할 수 있습니다. 액세스 수준은 서비스 경계 외부에서 수신되는 보호된 리소스에 대한 요청에만 적용됩니다. 액세스 수준을 사용해서는 경계 외부의 데이터 및 서비스에 액세스하기 위한 보호되는 리소스 권한을 부여할 수 없습니다.

자세한 내용은 서비스 경계 외부에서 보호된 리소스에 액세스 허용을 참조하세요.

다음 단계