Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש ב-VPC Service Controls עם מוצרי נתונים

בדף הזה מוסבר איך להגדיר את VPC Service Controls כדי לאבטח את מוצרי הנתונים.

מומלץ להשתמש ב-VPC Service Controls כדי למנוע זליגת נתונים ולוודא שהתקשורת בין מוצרי נתונים, נכסי נתונים ומשתמשים נשארת בגבולות המורשים.

מוצר נתונים הוא קיבוץ לוגי של משאבים (נכסי נתונים) שיכולים להיות משותפים לכמה פרויקטים. אם הפרויקטים שלכם שייכים לגבולות גזרה שונים של VPC Service Controls, אתם צריכים להגדיר כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) כדי לאפשר ל-Dataplex API לנהל משאבים ומטא-נתונים.

לפני שמתחילים

מומלץ לעיין במידע על VPC Service Controls.
כדאי לקרוא ולהבין את המושגים שקשורים למוצרי נתונים.
חשוב לוודא שיש לכם את ההרשאות הנדרשות לניהול גבולות גזרה של VPC Service Controls ומשאבים של Knowledge Catalog.

כללים של גבולות גזרה לשירות ליצירת מוצרי נתונים

הפרויקטים הבאים מגדירים את גבולות התקשורת שנדרשים ליצירת מוצר נתונים בין היקפי שירות:

פרויקט R (מבצע הקריאה): הפרויקט שבו נמצא המשתמש, חשבון השירות או האפליקציה שמבצעים את בקשת היצירה.
פרויקט ה'ה' (מוצר נתונים): הפרויקט שמארח את משאב מוצר הנתונים.

איור שמציג שני היקפי שירות. גבולות גזרה 1 מכילים את פרויקט R (המתקשר) וגבולות גזרה 2 מכילים את פרויקט E (מוצר הנתונים).

כדי ליצור מוצר נתונים בפרויקט אחר מהפרויקט שממנו מתבצעת הקריאה, צריך להגדיר את כללי הכניסה והיציאה הבאים:

פרויקט	נדרש כלל
Project R	כלל לתעבורת נתונים יוצאת (egress) בפרויקט ה'ה'
פרויקט ה'	כלל לתעבורת נתונים נכנסת (ingress) עבור פרויקט R

כללים של גבולות גזרה לשירות לניהול נכסי נתונים

כשמנהלים נכסי נתונים (למשל, מוסיפים טבלה ב-BigQuery למוצר נתונים), הארכיטקטורה כוללת שלושה תפקידים שונים בפרויקט:

פרויקט R (המתקשר): הפרויקט שממנו יוצאת הבקשה לניהול נכסים.
פרויקט ד' (מוצר נתונים): הפרויקט שמארח את מוצר הנתונים שמקבץ את הנכסים. נכס במוצר נתונים הוא מצביע למשאב נתונים פיזי, כמו מערך נתונים, טבלה או תצוגה ב-BigQuery. מוצר נתונים יכול להכיל נכס אחד או יותר.
‫Project S (משאב המקור): הפרויקט שבו נמצא משאב הנתונים בפועל.

איור של שלושה היקפי שירות. גבולות גזרה 1 מכיל את פרויקט R (המתקשר), גבולות גזרה 2 מכיל את פרויקט D (מוצר הנתונים), וגבולות גזרה 3 מכיל את פרויקט S (משאב המקור).

כשמוסיפים או מנהלים נכס נתונים שנמצא בפרויקט אחר מזה של מוצר הנתונים, צריך לגשר על התקשורת בין שלושת הפרויקטים על ידי הגדרת הכללים הבאים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress):

פרויקט	כללים נדרשים
Project R	כלל לתעבורת נתונים יוצאת (egress) עבור פרויקט D כלל לתעבורת נתונים יוצאת (egress) עבור פרויקט S
פרויקט ד'	כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R כלל לתעבורת נתונים יוצאת (egress) בפרויקט S
Project S	כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R כלל לתעבורת נתונים נכנסת (ingress) בפרויקט D

כללים של גבולות גזרה לשירות להוספת היבטים ומטא-נתונים למוצר נתונים

הפרויקטים הבאים מגדירים את גבולות התקשורת שנדרשים כדי לצרף מטא-נתונים והיבטים למוצר נתונים מעבר לגבולות של היקפי שירות:

פרויקט R (הגורם המבצע): הפרויקט שיוזם את הבקשה לצירוף היבט.
פרויקט ד' (מוצר נתונים): הפרויקט שמארח את מוצר הנתונים שמקבל את ההיבט.
פרויקט א' (סוג ההיבט): הפרויקט שבו מוגדר ומאוחסן סוג ההיבט הספציפי (סכימת המטא-נתונים).

איור של שלושה היקפי שירות. היקף 1 מכיל את פרויקט R (המתקשר), היקף 2 מכיל את פרויקט D (מוצר הנתונים) והיקף 3 מכיל את פרויקט A (סוג ההיבט).

כדי לחבר אספקטים כשפרויקטים כאלה נמצאים בגבולות גזרה נפרדים, צריך להגדיר את כללי תעבורת הנתונים הנכנסת (ingress) ותעבורת הנתונים היוצאת (egress) הבאים:

פרויקט	כללים נדרשים
Project R	כלל לתעבורת נתונים יוצאת (egress) בפרויקט D כלל לתעבורת נתונים יוצאת (egress) בפרויקט A
פרויקט ד'	כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R כלל לתעבורת נתונים יוצאת (egress) בפרויקט A
פרויקט א'	כלל לתעבורת נתונים נכנסת (ingress) בפרויקט R כלל לתעבורת נתונים נכנסת (ingress) בפרויקט D

כללים של גבולות גזרה לשירות לצריכת מוצרי נתונים

כדי שצרכני מוצרי נתונים יוכלו לגשת למוצרי נתונים שמוגנים על ידי VPC Service Controls, צריך להוסיף לרשימת ההיתרים את פרויקט הצרכן או את זהויות המשתמשים הספציפיות. כדי להעניק גישה כזו לצרכני מוצר הנתונים, צריך להגדיר כללי תעבורת נתונים נכנסת (ingress) בגבולות גזרה לשירות של מוצר הנתונים.

מגבלות

אין תמיכה במוצרי נתונים בכללים שמבוססים על שיטות. כדי להבטיח את הפונקציונליות, צריך לאפשר את כל השיטות (*) לשירות dataplex.googleapis.com בכללים לתעבורת נתונים נכנסת ויוצאת. לדוגמה:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
אם משאבי BigQuery הבסיסיים שלכם מוגנים על ידי היקפי שירות, אתם צריכים להגדיר כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) עבור שירות bigquery.googleapis.com. לדוגמה:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
הערה: לא צריך כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) ב-BigQuery כשיוצרים רק מוצר נתונים.