Dieses Dokument richtet sich an Sicherheitsadministratoren und Datentechniker, die Knowledge Catalog-Dienste (ehemals Dataplex Universal Catalog) schützen müssen. Es wird erläutert, wie Sie mit VPC Service Controls Dienstperimeter erstellen, die Ihre Knowledge Catalog-Ressourcen schützen und das Risiko einer Daten-Exfiltration minimieren. Weitere Informationen finden Sie unter VPC Service Controls – Übersicht.
Unterstützte Features
Wenn Sie Knowledge Catalog mit einem Dienstperimeter schützen, werden die folgenden Features unterstützt:
Lakes: Sie können Knowledge Catalog-Lakes innerhalb von dem Perimeter erstellen und verwalten.
Assets: Sie können Assets innerhalb des Perimeters verwalten.
Metadatenressourcen im Katalog: Sie können Metadatenressourcen innerhalb des Perimeters verwalten.
Metadatenexport: Sie können Metadaten in Dataproc Metastore exportieren. Dazu ist eine zusätzliche VPC Service Controls-Konfiguration erforderlich. Weitere Informationen finden Sie unter VPC Service Controls.
Datenanalysen: Sie können Scans zur Datenprofilerstellung, Datenqualität und Metadaten analyse ausführen.
Datenreihen: Sie können Datenreihen mit der eingeschränkten virtuellen IP-Adresse (VIP) verfolgen.
Knowledge Catalog-Suche: Sie können die
SearchEntriesAPI verwenden. Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Dienstperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die sich innerhalb desselben Perimeters befinden. Weitere Informationen finden Sie unter Such bereich und Suchergebnisse mit VPC Service Controls nach Umgebung isolieren.Datenprodukte (Vorschau): Sie können VPC Service Controls verwenden, um Datenprodukte zu schützen. So wird sichergestellt, dass die Kommunikation zwischen dem Datenprodukt, den zugehörigen Daten-Assets (z. B. BigQuery-Tabellen) und Nutzern innerhalb autorisierter Perimeter bleibt. Weitere Informationen finden Sie unter VPC Service Controls mit Datenprodukten verwenden.
Beschränkungen
Sie können Knowledge Catalog-Ressourcen erstellen, bevor Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Diese Ressourcen sind dann jedoch nicht durch den Perimeter geschützt.
VPC Service Controls verhindert, dass Ressourcen innerhalb eines Dienstperimeters auf Daten und Dienste außerhalb dieses Perimeters zugreifen. Beispielsweise können bei der Datenprofilerstellung und bei Datenqualitätsscans in Knowledge Catalog nicht auf Datenquellen wie BigQuery-Tabellen oder Cloud Storage-Dateien zugegriffen werden, die sich außerhalb des Dienstperimeters befinden. Wenn Sie Daten-Scanergebnisse exportieren, muss sich die Ziel-BigQuery-Tabelle in einem Projekt befinden, das durch den Perimeter geschützt ist. Informationen zum Gewähren des Zugriffs auf Ihre geschützten Ressourcen von außerhalb des Perimeters finden Sie unter Zugriffsebene erstellen.
VPC Service Controls einrichten
So schützen Sie Knowledge Catalog-Ressourcen mit VPC Service Controls:
- Konfigurieren Sie das VPC-Netzwerk.
- Erstellen Sie einen Dienstperimeter.
- Fügen Sie dem Perimeter Projekte hinzu.
- Fügen Sie die Dataplex API dem Dienstperimeter hinzu.
- Optional: Erstellen Sie eine Zugriffsebene.
VPC-Netzwerk (Virtual Private Cloud) konfigurieren
Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und -Diensten kommunizieren können, die von VPC Service Controls unterstützt werden, und zwar auf eine Weise, die der Richtlinie des zugehörigen Perimeters entspricht.
Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.
Dienstperimeter erstellen
Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Knowledge Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.
Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.
Weitere Projekte zum Dienstperimeter hinzufügen
Wenn Sie dem Perimeter vorhandene Knowledge Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.
Dataplex API zum Dienstperimeter hinzufügen
Um das Risiko zu minimieren, dass Ihre Daten aus Knowledge Catalog exfiltriert werden, z. B. mithilfe von Dataplex API-Methoden, müssen Sie die Dataplex API einschränken.
So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:
Console
Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Dienste hinzufügen.
Fügen Sie die Dataplex API hinzu.
Klicken Sie auf Speichern.
gcloud
Führen Sie den Befehl
gcloud access-context-manager perimeters updateaus:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Ersetzen Sie Folgendes:
PERIMETER_ID: die ID des Perimeters oder der vollständig qualifizierte Bezeichner für den PerimeterPOLICY_ID: die ID der Zugriffsrichtlinie
Optional: Zugriffsebene erstellen
Sie können Zugriffsebenen verwenden, um externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zu gewähren. Zugriffsebenen gelten nur für Anfragen, die von außerhalb des Dienstperimeters kommen und an geschützte Ressourcen gehen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zu erteilen, auf Daten und Dienste außerhalb des Perimeters zuzugreifen.
Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
Nächste Schritte
- Learn more about VPC Service Controls.
- Erfahren Sie mehr über die Knowledge Catalog-Zugriffssteuerung mit IAM.
- Erfahren Sie mehr über Knowledge Catalog-Sicherheit.