透過 Knowledge Catalog 使用 VPC Service Controls

本文適用於需要保護 Knowledge Catalog (舊稱 Dataplex Universal Catalog) 服務的安全管理員和資料工程師。本文說明如何使用 VPC Service Controls 建立服務範圍,保護 Knowledge Catalog 資源並降低資料竊取風險。詳情請參閱「VPC Service Controls 總覽」。

支援功能

使用服務範圍保護知識目錄時,系統支援下列功能:

  • 湖泊:您可以在周邊建立及管理 Knowledge Catalog 湖泊。

  • 資產:您可以在範圍內管理資產。

  • 目錄中的中繼資料資源:您可以在周邊範圍內管理中繼資料資源。

  • 匯出中繼資料:您可以將中繼資料匯出至 Dataproc Metastore,但這需要額外的 VPC Service Controls 設定。詳情請參閱「將中繼資料匯出至 Dataproc Metastore」。

  • 資料洞察:您可以執行資料剖析、資料品質和中繼資料洞察掃描。

  • 資料歷程:您可以使用受限的虛擬 IP (VIP) 追蹤資料歷程。

  • 知識目錄搜尋:您可以使用 SearchEntriesAPI。在受服務範圍保護的專案中使用 Knowledge Catalog 搜尋時,搜尋結果只會顯示位於相同範圍內的資源。詳情請參閱「搜尋範圍」和「使用 VPC Service Controls 依環境隔離搜尋結果」。

  • 資料產品 (預先發布版):您可以使用 VPC Service Controls 保護資料產品,確保資料產品、其組成資料資產 (例如 BigQuery 資料表) 和使用者之間的通訊,都維持在授權的 perimeter 範圍內。詳情請參閱「搭配使用 VPC Service Controls 與資料產品」。

限制

您可以在設定 VPC Service Controls 安全範圍前建立 Knowledge Catalog 資源,但這些資源不會受到範圍保護。

根據設計,VPC Service Controls 可防止服務範圍內的資源存取該範圍外的資料和服務。舉例來說,如果 BigQuery 資料表或 Cloud Storage 檔案等資料來源位於服務邊界外,知識目錄資料剖析和資料品質掃描就無法存取這些資料來源。同樣地,匯出資料掃描結果時,目的地 BigQuery 資料表必須位於受邊界保護的專案中。如要瞭解如何從 perimeter 外部授予受保護資源的存取權,請參閱「建立存取層級」。

設定 VPC Service Controls

如要使用 VPC Service Controls 保護知識目錄資源,請完成下列步驟:

  1. 設定虛擬私有雲網路
  2. 建立服務周圍區域
  3. 將專案新增至範圍
  4. 將 Dataplex API 新增至服務周圍區域
  5. 選用:建立存取層級

設定虛擬私有雲 (VPC) 網路

您可以設定虛擬私有雲網路,根據服務範圍限制 Private Google Access。這麼做可確保虛擬私有雲或地端部署網路中的主機,只能以符合相關聯範圍政策的方式,與 VPC Service Controls 支援的 Google API 和服務通訊。

詳情請參閱「設定連至 Google API 和服務的私人連線」。

建立 service perimeter

建立服務範圍時,請選取要由 VPC Service Controls 服務範圍保護的 Knowledge Catalog 專案。

如要建立 service perimeter,請按照「建立 service perimeter」一文中的操作說明進行。

將更多專案新增至服務周圍區域

如要將現有 Knowledge Catalog 專案新增至 service perimeter,請按照「更新 service perimeter」一文中的操作說明進行。

將 Dataplex API 新增至服務邊界

為降低資料從 Knowledge Catalog 外洩的風險 (例如使用 Dataplex API 方法),您必須限制 Dataplex API。

如要將 Dataplex API 新增為受限制的服務,請按照下列步驟操作:

控制台

  1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

    前往 VPC Service Controls

  2. 在「VPC Service Controls」頁面的資料表中,按一下要修改的 service perimeter 名稱。

  3. 按一下「編輯範圍」

  4. 在「Edit Service Perimeter」(編輯服務範圍) 頁面中,按一下「Add Services」(新增服務)

  5. 新增 Dataplex API

  6. 按一下 [儲存]

gcloud

  • 使用 gcloud access-context-manager perimeters update 指令:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    更改下列內容:

    • PERIMETER_ID:perimeter 的 ID 或 perimeter 的完整 ID
    • POLICY_ID:存取權政策的 ID

選用步驟:建立存取層級

如要允許外部存取 perimeter 內部的受保護資源,可以使用存取層級。存取層級僅適用於來自服務邊界的受保護資源存取要求。您無法使用存取層級,授予受保護資源存取 perimeter 外部資料和服務的權限。

詳情請參閱「允許存取 service perimeter 外的受保護資源」。

後續步驟