Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utiliser VPC Service Controls avec les produits de données

Cette page explique comment configurer VPC Service Controls pour sécuriser vos produits de données.

Utilisez VPC Service Controls pour empêcher l'exfiltration de données et vous assurer que la communication entre les produits de données, les éléments de données, et les utilisateurs reste dans les périmètres autorisés.

Un produit de données est un regroupement logique de ressources (éléments de données) qui peuvent s'étendre sur plusieurs projets. Lorsque vos projets appartiennent à différents périmètres VPC Service Controls, vous devez configurer des règles d'entrée et de sortie pour permettre à l'API Dataplex de gérer les ressources et les métadonnées.

Avant de commencer

Familiarisez-vous avec les VPC Service Controls.
Comprenez les concepts des produits de données.
Assurez-vous de disposer des autorisations nécessaires pour gérer les périmètres VPC Service Controls et les ressources Knowledge Catalog.

Règles de périmètre de service pour la création de produits de données

Les projets suivants définissent les limites de communication requises pour créer un produit de données dans des périmètres de service :

Projet R (appelant) : projet dans lequel réside l'utilisateur, le compte de service ou l'application qui lance la requête de création.
Projet E (produit de données) : projet qui héberge la ressource du produit de données.

Illustration montrant deux périmètres de service. Le périmètre 1 contient le projet R (appelant) et le périmètre 2 contient le projet E (produit de données).

Pour créer un produit de données dans un projet différent de votre projet appelant, configurez les règles d'entrée et de sortie suivantes :

Projet	Règle requise
Projet R	Règle de sortie pour le projet E
Projet E	Règle d'Ingress pour le projet R

Règles de périmètre de service pour la gestion des éléments de données

Lorsque vous gérez des éléments de données (par exemple, lorsque vous ajoutez une table BigQuery à un produit de données), l'architecture implique trois rôles de projet distincts :

Projet R (appelant) : projet qui lance la requête de gestion des éléments.
Projet D (produit de données) : projet qui héberge le produit de données regroupant les éléments. Un élément d'un produit de données est un pointeur vers une ressource de données physique, telle qu'un ensemble de données, une table ou une vue BigQuery. Un produit de données peut contenir un ou plusieurs éléments.
Projet S (ressource source) : projet dans lequel se trouve la ressource de données réelle.

Illustration montrant trois périmètres de service. Le périmètre 1 contient le projet R (appelant), le périmètre 2 contient le projet D (produit de données) et le périmètre 3 contient le projet S (ressource source).

Lorsque vous ajoutez ou gérez un élément de données qui réside dans un projet différent de celui du produit de données, vous devez établir une communication entre les trois projets en configurant les règles d'entrée et de sortie suivantes :

Projet	Règles requises
Projet R	Règle de sortie pour le projet D Règle de sortie pour le projet S
Projet D	Règle d'Ingress pour le projet R Règle de sortie pour le projet S
Projet S	Règle d'Ingress pour le projet R Règle d'entrée pour le projet D

Règles de périmètre de service pour l'ajout d'aspects et de métadonnées à un produit de données

Les projets suivants définissent les limites de communication requises pour associer des métadonnées et des aspects à un produit de données dans des périmètres de service :

Projet R (appelant) : projet qui lance la requête d'association d'un aspect.
Projet D (produit de données) : projet qui héberge le produit de données recevant l'aspect.
Projet A (type d'aspect) : projet dans lequel le type d'aspect spécifique (schéma de métadonnées) est défini et stocké.

Pour associer des aspects lorsque ces projets résident dans des périmètres distincts, configurez les règles d'entrée et de sortie suivantes :

Projet	Règles requises
Projet R	Règle de sortie pour le projet D Règle de sortie pour le projet A
Projet D	Règle d'Ingress pour le projet R Règle de sortie pour le projet A
Projet A	Règle d'Ingress pour le projet R Règle d'entrée pour le projet D

Règles de périmètre de service pour la consommation de produits de données

Pour que les consommateurs de produits de données puissent accéder aux produits de données protégés par VPC Service Controls, vous devez autoriser le projet consommateur ou les identités utilisateur spécifiques. Pour accorder cet accès aux consommateurs de produits de données, configurez des règles d'entrée dans le périmètre de service du produit de données.

Limites

Les produits de données ne sont pas compatibles avec les règles basées sur des méthodes. Pour garantir le bon fonctionnement, vous devez autoriser toutes les méthodes (*) pour le service dataplex.googleapis.com dans vos règles d'entrée et de sortie. Exemple :
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Si vos ressources BigQuery sous-jacentes sont protégées par des périmètres de service, vous devez configurer des règles d'entrée et de sortie pour le service bigquery.googleapis.com. Exemple :
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Remarque : Les règles d'Ingress et de sortie pour BigQuery ne sont pas requises lorsque vous ne faites que créer un produit de données.

Étape suivante

En savoir plus sur les produits de données.
Comprendre les règles d'entrée et de sortie.