VPC Service Controls עם Dataplex Universal Catalog

המסמך הזה מיועד לאדמינים של אבטחה ולמהנדסי נתונים שצריכים לאבטח את השירותים של Dataplex Universal Catalog. במאמר מוסבר איך להשתמש ב-VPC Service Controls‏ (VPC-SC) כדי ליצור גבולות גזרה לשירות שמגנים על המשאבים של Dataplex Universal Catalog ומצמצמים את הסיכונים לזליגת נתונים. מידע נוסף זמין במאמר סקירה כללית על VPC Service Controls.

תכונות נתמכות

כשמאבטחים את Dataplex Universal Catalog באמצעות גבולות גזרה לשירותים, התכונות הבאות נתמכות:

  • Lakes: אפשר ליצור ולנהל אגמים של Dataplex Universal Catalog בתוך גבולות הגזרה.

  • נכסים: אתם יכולים לנהל נכסים בתוך גבולות הגזרה.

  • משאבי מטא-נתונים ב-Catalog: אתם יכולים לנהל משאבי מטא-נתונים בתוך גבולות הגזרה.

  • ייצוא מטא-נתונים: אפשר לייצא מטא-נתונים אל Dataproc Metastore, אבל צריך לבצע הגדרה נוספת של VPC-SC. מידע נוסף זמין במאמר ייצוא מטא-נתונים אל Dataproc Metastore.

  • תובנות מנתונים: אתם יכולים להריץ סריקות של פרופיל נתונים, איכות נתונים ותובנות לגבי מטא-נתונים.

  • שושלת נתונים: אפשר לעקוב אחרי שושלת הנתונים באמצעות כתובת IP וירטואלית (VIP) מוגבלת.

  • Dataplex Search: אפשר להשתמש ב-SearchEntries API. כשמשתמשים בחיפוש ב-Dataplex Universal Catalog בפרויקט שמוגן על ידי גבולות גזרה לשירות, תוצאות החיפוש כוללות רק משאבים שנמצאים באותם גבולות גזרה. מידע נוסף זמין במאמרים היקף החיפוש ובידוד תוצאות החיפוש לפי סביבה באמצעות VPC Service Controls.

מגבלות

אפשר ליצור משאבים של Dataplex Universal Catalog לפני שמגדירים את גבולות האבטחה של VPC Service Controls, אבל למשאבים האלה לא תהיה הגנה של גבולות הגזרה.

כברירת מחדל, VPC Service Controls מונע ממשאבים בתוך גבולות גזרה לשירות לגשת לנתונים ולשירותים מחוץ לגבולות גזרה אלה. לדוגמה, סריקות פרופיל הנתונים ואיכות הנתונים של Dataplex Universal Catalog לא יכולות לגשת למקורות נתונים, כמו טבלאות BigQuery או קבצים ב-Cloud Storage, שנמצאים מחוץ לגבולות גזרה לשירות. באופן דומה, כשמייצאים תוצאות של סריקת נתונים, טבלת היעד ב-BigQuery צריכה להיות בפרויקט שמוגן על ידי גבולות הגזרה. במאמר יצירת רמת גישה מוסבר איך מעניקים גישה למשאבים המוגנים מחוץ לגבולות גזרה.

הגדרה של VPC Service Controls

כדי להגן על משאבים של Dataplex Universal Catalog באמצעות VPC Service Controls, מבצעים את השלבים הבאים:

  1. הגדרת רשת ה-VPC.
  2. יצירת גבולות גזרה לשירות
  3. הוספת פרויקטים להיקף
  4. הוספת Dataplex API לגבולות גזרה לשירות
  5. אופציונלי: יצירת רמת גישה.

הגדרת רשת הענן הווירטואלי הפרטי (VPC)

אפשר להגדיר את רשת ה-VPC כך שתגביל את הגישה הפרטית ל-Google בהתאם לגבולות גזרה לשירות. כך תוכלו להבטיח שהמארחים ב-VPC או ברשת המקומית יוכלו לתקשר רק עם שירותי Google API ושירותים שנתמכים על ידי VPC Service Controls, באופן שתואם למדיניות של הגבולות המשויכים.

למידע נוסף, אפשר לקרוא את המאמר הגדרת קישוריות פרטית ל-Google APIs ולשירותים של Google.

יצירה של גבולות גזרה לשירות

כשיוצרים גבולות גזרה לשירות, בוחרים את הפרויקטים של Dataplex Universal Catalog שרוצים ש-VPC Service Controls יגנו עליהם.

כדי ליצור גבולות גזרה לשירות, פועלים לפי ההוראות במאמר יצירת גבולות גזרה לשירות.

הוספת פרויקטים נוספים לגבולות גזרה לשירות

כדי להוסיף פרויקטים קיימים של Dataplex Universal Catalog לגבולות גזרה לשירות, פועלים לפי ההוראות במאמר עדכון של גבולות גזרה לשירות.

הוספת Dataplex API לגבולות גזרה לשירות

כדי לצמצם את הסיכון להעברת נתונים מ-Dataplex Universal Catalog, למשל באמצעות שיטות של Dataplex API, צריך להגביל את Dataplex API.

כדי להוסיף את Dataplex API כשירות מוגבל, פועלים לפי השלבים הבאים:

המסוף

  1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

    מעבר אל VPC Service Controls

  2. בדף VPC Service Controls (אמצעי בקרה של שירות VPC), בטבלה, לוחצים על השם של גבולות גזרה לשירות שרוצים לשנות.

  3. לוחצים על עריכת ההיקף.

  4. בדף עריכת היקף השירות, לוחצים על הוספת שירותים.

  5. מוסיפים את Dataplex API.

  6. לוחצים על Save.

gcloud

  • משתמשים בפקודה gcloud access-context-manager perimeters update:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    מחליפים את מה שכתוב בשדות הבאים:

    • PERIMETER_ID: המזהה של ההיקף או המזהה המוגדר במלואו של ההיקף
    • POLICY_ID: המזהה של מדיניות הגישה

אופציונלי: יצירת רמת גישה

כדי לאפשר גישה חיצונית למשאבים מוגנים בתוך היקף, אפשר להשתמש ברמות גישה. רמות הגישה חלות רק על בקשות למשאבים מוגנים שמגיעות מחוץ לגבולות גזרה לשירות. אי אפשר להשתמש ברמות גישה כדי לתת למשאבים מוגנים הרשאה לגשת לנתונים ולשירותים מחוץ לגבולות הגזרה.

מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ להיקף.

המאמרים הבאים