Seit dem 10. April 2026 heißt Dataplex Universal Catalog jetzt Knowledge Catalog. Die Namen der API, der Clientbibliothek, der CLI und von IAM bleiben unverändert. Weitere Informationen finden Sie unter Google Cloud Knowledge Catalog.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC Service Controls mit Knowledge Catalog

Dieses Dokument richtet sich an Sicherheitsadministratoren und Data Engineers, die Knowledge Catalog-Dienste (früher Dataplex Universal Catalog) schützen müssen. Darin wird beschrieben, wie Sie mit VPC Service Controls Dienstperimeter erstellen, die Ihre Knowledge Catalog-Ressourcen schützen und das Risiko einer Daten-Exfiltration verringern. Weitere Informationen finden Sie unter VPC Service Controls.

Unterstützte Features

Wenn Sie Knowledge Catalog mit einem Dienstperimeter schützen, werden die folgenden Funktionen unterstützt:

Lakes: Sie können Knowledge Catalog-Lakes innerhalb des Perimeters erstellen und verwalten.
Assets: Sie können Assets innerhalb des Perimeters verwalten.
Metadatenressourcen im Katalog: Sie können Metadatenressourcen innerhalb des Perimeters verwalten.
Metadatenexport: Sie können Metadaten in Dataproc Metastore exportieren. Dazu ist eine zusätzliche VPC Service Controls-Konfiguration erforderlich. Weitere Informationen finden Sie unter VPC Service Controls.
Daten-Insights: Sie können Scans für Datenprofilerstellung, Datenqualität und Metadaten-Insights ausführen.
Datenherkunft: Sie können die Datenherkunft mithilfe der eingeschränkten virtuellen IP-Adresse (VIP) nachverfolgen.
Knowledge Catalog-Suche: Sie können die SearchEntries-API verwenden. Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Dienstperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die sich im selben Perimeter befinden. Weitere Informationen finden Sie unter Suchbereich und Suchergebnisse nach Umgebung mit VPC Service Controls isolieren.
Datenprodukte (Vorschau): Sie können VPC Service Controls verwenden, um Datenprodukte zu schützen. So wird dafür gesorgt, dass die Kommunikation zwischen dem Datenprodukt, den zugehörigen Daten-Assets (z. B. BigQuery-Tabellen) und den Nutzern innerhalb autorisierter Perimeter bleibt. Weitere Informationen finden Sie unter VPC Service Controls mit Datenprodukten verwenden.

Knowledge Catalog-Suche und VPC Service Controls

Wenn Sie die Knowledge Catalog-Suche in einem Projekt verwenden, das durch einen Serviceperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die zum selben Projekt gehören, in dem die Suche ausgeführt wird.

Wenn Sie Ressourcen aus anderen Projekten einbeziehen möchten, die sich im selben Dienstperimeter befinden, müssen Sie VPC Service Controls-Ausgangsregeln für das Knowledge Catalog-Aufruferprojekt konfigurieren. Weitere Informationen finden Sie unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren. Mit diesen Regeln können die Suchergebnisse Projektgrenzen innerhalb des Perimeters überschreiten.

Im folgenden Beispiel sehen Sie eine Konfiguration für eine Egress-Richtlinie, die es ermöglicht, dass Suchergebnisse BigQuery-Ressourcen aus project A enthalten, wenn die Suche von project B aus erfolgt:

egressPolicies:
-   egressFrom:
    identityType: ANY_USER_ACCOUNT
  egressTo:
    operations:
    -   serviceName: bigquery.googleapis.com
      methodSelectors:
      -   method: '*'
    resources:
    -   projects/projectA

Wenn Sie in project B eine Knowledge Catalog-Suche durchführen, ruft Knowledge Catalog die BigQuery API auf, um Assets in project A zu finden. Diese Richtlinie erlaubt ausdrücklich, dass jedes Nutzerkonto in project B BigQuery API-Aufrufe für project A ausführt. So können BigQuery-Assets aus project A in Ihren Knowledge Catalog-Suchergebnissen angezeigt werden.

Beschränkungen

Sie können Knowledge Catalog-Ressourcen erstellen, bevor Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Diese Ressourcen sind dann jedoch nicht durch einen Perimeter geschützt.

VPC Service Controls verhindert, dass Ressourcen innerhalb eines Dienstperimeters auf Daten und Dienste außerhalb dieses Perimeters zugreifen. Beispielsweise können für die Datenprofilerstellung und Datenqualitätsprüfungen in Knowledge Catalog nicht auf Datenquellen wie BigQuery-Tabellen oder Cloud Storage-Dateien zugegriffen werden, die sich außerhalb des Dienstperimeters befinden. Wenn Sie die Ergebnisse des Datenscans exportieren, muss sich die BigQuery-Tabelle in einem Projekt befinden, das durch den Perimeter geschützt ist. Informationen zum Gewähren des Zugriffs auf Ihre geschützten Ressourcen von außerhalb des Perimeters finden Sie unter Zugriffsebene erstellen.

VPC Service Controls einrichten

So schützen Sie Knowledge Catalog-Ressourcen mit VPC Service Controls:

VPC-Netzwerk konfigurieren
Dienstperimeter erstellen
Projekte dem Perimeter hinzufügen
Dataplex API zum Dienstperimeter hinzufügen
Optional: Zugriffsebene erstellen

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur mit Google APIs und Google-Diensten kommunizieren können, die von VPC Service Controls unterstützt werden, und zwar auf eine Weise, die der Richtlinie des zugehörigen Perimeters entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Knowledge Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Wenn Sie dem Perimeter vorhandene Knowledge Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataplex API zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Knowledge Catalog exfiltriert werden, z. B. mithilfe von Dataplex API-Methoden, müssen Sie die Dataplex API einschränken.

So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:

Console

Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

Zu VPC Service Controls
Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Dienste hinzufügen.
Fügen Sie die Dataplex API hinzu.
Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud access-context-manager perimeters update aus:
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com
```
Ersetzen Sie Folgendes:
- PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter
- POLICY_ID: die ID der Zugriffsrichtlinie

Optional: Zugriffsebene erstellen

Wenn Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zulassen möchten, können Sie Zugriffsebenen verwenden. Zugriffsebenen gelten nur für Anfragen, die von außerhalb des Dienstperimeters kommen und an geschützte Ressourcen gehen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

VPC Service Controls mit Knowledge Catalog Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.