Este documento está destinado a administradores de seguridad y a ingenieros de datos que necesitan proteger los servicios de Knowledge Catalog (anteriormente Dataplex Universal Catalog). En él, se explica cómo usar los Controles del servicio de VPC para crear perímetros de servicio que protejan tus recursos de Knowledge Catalog y mitiguen los riesgos de robo de datos. Para obtener más información, consulta la Descripción general de los Controles del servicio de VPC.
Funciones admitidas
Cuando proteges Knowledge Catalog con un perímetro de servicio, se admiten las siguientes funciones:
Lagos: Puedes crear y administrar lagos de Knowledge Catalog dentro de l perímetro.
Recursos: Puedes administrar recursos dentro del perímetro.
Recursos de metadatos en Catalog: Puedes administrar recursos de metadatos dentro del perímetro.
Exportación de metadatos: Puedes exportar metadatos a Dataproc Metastore, lo que requiere una configuración adicional de los Controles del servicio de VPC. Para obtener más información, consulta Exporta metadatos a Dataproc Metastore.
Estadísticas de datos: Puedes ejecutar análisis de creación de perfiles de datos, calidad de los datos y metadatos estadísticas.
Linaje de datos: puedes hacer un seguimiento del linaje de datos con la IP virtual (VIP) restringida.
Búsqueda de Knowledge Catalog: puedes usar la
SearchEntriesAPI. Cuando usas la búsqueda de Knowledge Catalog en un proyecto protegido por un perímetro de servicio, los resultados de la búsqueda incluyen solo los recursos que se encuentran dentro del mismo perímetro. Para obtener más información, consulta Alcance de la búsqueda y Aísla los resultados de la búsqueda por entorno con los Controles del servicio de VPC.Productos de datos (vista previa): Puedes usar los Controles del servicio de VPC para proteger los productos de datos y garantizar que la comunicación entre el producto de datos, sus recursos de datos constituyentes (como las tablas de BigQuery) y los usuarios permanezca dentro de los perímetros autorizados. Para obtener más información, consulta Usa los Controles del servicio de VPC con productos de datos.
Limitaciones
Puedes crear recursos de Knowledge Catalog antes de configurar el perímetro de seguridad de los Controles del servicio de VPC, pero esos recursos no tendrán protección perimetral.
Por diseño, los Controles del servicio de VPC impiden que los recursos dentro de un perímetro de servicio accedan a datos y servicios fuera de ese perímetro. Por ejemplo, los análisis de creación de perfiles de datos y calidad de los datos de Knowledge Catalog no pueden acceder a fuentes de datos, como tablas de BigQuery o archivos de Cloud Storage, que están fuera del perímetro de servicio. Del mismo modo, cuando exportas los resultados del análisis de datos, la tabla de BigQuery de destino debe estar en un proyecto protegido por el perímetro. Para obtener información sobre cómo otorgar acceso a tus recursos protegidos desde fuera del perímetro, consulta Crea un nivel de acceso.
Configura los Controles del servicio de VPC
Para proteger los recursos de Knowledge Catalog con los Controles del servicio de VPC, sigue estos pasos:
- Configura la red de VPC.
- Crea un perímetro de servicio.
- Agrega proyectos al perímetro.
- Agrega la API de Dataplex al perímetro de servicio.
- Opcional: Crea un nivel de acceso.
Configura la red de nube privada virtual (VPC)
Puedes configurar la red de VPC para restringir el Acceso privado a Google con respecto a un perímetro de servicio. Esto garantiza que los hosts en tu VPC o en la red local solo puedan comunicarse con las API y los servicios de Google que son compatibles con los Controles del servicio de VPC de manera que se ajusten a la política del perímetro asociado.
Para obtener más información, consulta Cómo configurar una conectividad privada en los servicios y las APIs de Google.
Crea un perímetro de servicio
Cuando creas un perímetro de servicio, seleccionas los proyectos de Knowledge Catalog que deseas que proteja el perímetro de servicio de los Controles del servicio de VPC.
Para crear un perímetro de servicio, sigue las instrucciones en Crea un perímetro de servicio.
Agrega más proyectos al perímetro de servicio
Para agregar proyectos existentes de Knowledge Catalog al perímetro, sigue las instrucciones en Actualiza un perímetro de servicio.
Agrega la API de Dataplex al perímetro de servicio
Para mitigar el riesgo de que tus datos sean extraídos de Knowledge Catalog, por ejemplo, si usas métodos de la API de Dataplex, debes restringir la API de Dataplex.
Para agregar la API de Dataplex como un servicio restringido, sigue estos pasos:
Console
En la Google Cloud consola, ve a la página Controles del servicio de VPC.
En la página Controles del servicio de VPC, en la tabla, haz clic en el nombre del perímetro de servicio que deseas modificar.
Haz clic en Editar perímetro.
En la página Editar perímetro de servicio , haz clic en Agregar servicios.
Agrega la API de Dataplex.
Haz clic en Guardar.
gcloud
Usa el comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Reemplaza lo siguiente:
PERIMETER_ID: El ID del perímetro o el identificador completamente calificado del perímetroPOLICY_ID: El ID de la política de acceso
Opcional: Crea un nivel de acceso
Para permitir el acceso externo a los recursos protegidos dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos provenientes de fuera del perímetro de servicio. No puedes usar los niveles de acceso a fin de otorgar permisos a los recursos protegidos para acceder a los datos y servicios fuera del perímetro.
Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.
¿Qué sigue?
- Obtén más información sobre los controles de servicio de VPC.
- Obtén más información sobre el control de acceso de Knowledge Catalog con la IAM.
- Obtén más información sobre la seguridad de Knowledge Catalog.