Este documento é destinado a administradores de segurança e engenheiros de dados que precisam proteger os serviços do Catálogo de Conhecimento (antigo Dataplex Universal Catalog). Ele explica como usar o VPC Service Controls para criar perímetros de serviço que protegem os recursos do Catálogo de Conhecimento e reduzem os riscos de exfiltração de dados. Para mais informações, consulte Visão geral do VPC Service Controls.
Recursos compatíveis
Quando você protege o Catálogo de Conhecimento com um perímetro de serviço, os seguintes recursos são compatíveis:
Lakes: é possível criar e gerenciar lakes do Catálogo de Conhecimento dentro do perímetro.
Recursos: é possível gerenciar recursos dentro do perímetro.
Recursos de metadados no catálogo: é possível gerenciar recursos de metadados dentro do perímetro.
Exportação de metadados: é possível exportar metadados para o metastore do Dataproc, o que exige mais configuração do VPC Service Controls. Para mais informações, consulte Exportar metadados para o metastore do Dataproc.
Insights de dados: é possível executar verificações de perfilamento, qualidade de dados e metadados insights.
Linhagem de dados: é possível rastrear a linhagem de dados usando o endereço IP virtual (VIP) restrito.
Pesquisa do Catálogo de Conhecimento: é possível usar a
SearchEntriesAPI. Ao usar a pesquisa do Catálogo de Conhecimento em um projeto protegido por um perímetro de serviço, os resultados da pesquisa incluem apenas recursos que estão dentro do mesmo perímetro. Para mais informações, consulte Escopo da pesquisa e Isolar resultados da pesquisa por ambiente usando o VPC Service Controls.Produtos de dados (visualização): é possível usar o VPC Service Controls para proteger produtos de dados, garantindo que a comunicação entre o produto de dados, os recursos de dados constituintes (como tabelas do BigQuery) e os usuários permaneça dentro dos perímetros autorizados. Para mais informações, consulte Usar o VPC Service Controls com produtos de dados.
Limitações
É possível criar recursos do Catálogo de Conhecimento antes de configurar o perímetro de segurança do VPC Service Controls, mas esses recursos não terão proteção de perímetro.
Por design, o VPC Service Controls impede que recursos dentro de um perímetro de serviço acessem dados e serviços fora desse perímetro. Por exemplo, o perfilamento de dados e as verificações de qualidade de dados do Catálogo de Conhecimento não podem acessar fontes de dados, como tabelas do BigQuery ou arquivos do Cloud Storage, que estão fora do perímetro de serviço. Da mesma forma, ao exportar os resultados da verificação de dados, a tabela do BigQuery de destino precisa estar em um projeto protegido pelo perímetro. Para informações sobre como conceder acesso aos recursos protegidos de fora do perímetro, consulte Criar um nível de acesso.
Configurar o VPC Service Controls
Para proteger os recursos do Catálogo de Conhecimento com o VPC Service Controls, siga estas etapas:
- Configurar a rede VPC.
- Criar um perímetro de serviço.
- Adicione projetos ao perímetro.
- Adicione a API Dataplex ao perímetro de serviço.
- Opcional: Criar um nível de acesso.
Configurar a rede de nuvem privada virtual (VPC)
Você pode configurar a rede VPC para restringir o Acesso privado do Google com um perímetro de serviço. Isso garante que os hosts em sua VPC ou rede local só possam se comunicar com APIs e serviços do Google compatíveis com o VPC Service Controls de maneiras que estejam em conformidade com a política do perímetro associada.
Para mais informações, consulte Como configurar a conectividade privada com as APIs e os serviços do Google.
Criar um perímetro de serviço
Ao criar um perímetro de serviço, você seleciona os projetos do Catálogo de Conhecimento que quer que o perímetro de serviço do VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções em Criar um perímetro de serviço.
Adicionar mais projetos ao perímetro de serviço
Para adicionar projetos do Catálogo de Conhecimento ao perímetro, siga as instruções em Atualizar um perímetro de serviço.
Adicionar a API Dataplex ao perímetro de serviço
Para reduzir o risco de seus dados serem separados do Catálogo de Conhecimento, por exemplo, usando métodos da API Dataplex, é necessário restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito, siga estas etapas:
Console
No Google Cloud console do, acesse a página VPC Service Controls.
Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço , clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Salvar.
gcloud
Use o comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua:
PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetroPOLICY_ID: o ID da política de acesso
Opcional: criar um nível de acesso
Para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar os níveis de acesso para conceder recursos protegidos para acessar dados e serviços fora do perímetro.
Para mais informações, consulte Permitir acesso a recursos protegidos de fora de um perímetro.
A seguir
- Saiba mais sobre VPC Service Controls.
- Saiba mais sobre o controle de acesso do Catálogo de Conhecimento com o IAM.
- Saiba mais sobre a segurança do Catálogo de Conhecimento.