VPC Service Controls mit Datenprodukten verwenden

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls konfigurieren, um Ihre Datenprodukte zu schützen.

Mit VPC Service Controls können Sie Daten Exfiltration verhindern und dafür sorgen, dass die Kommunikation zwischen Datenprodukten, Daten-Assets, und Nutzern innerhalb autorisierter Perimeter bleibt.

Ein Datenprodukt ist eine logische Gruppierung von Ressourcen (Daten-Assets), die sich über mehrere Projekte erstrecken kann. Wenn Ihre Projekte zu verschiedenen VPC Service Controls-Perimetern gehören, müssen Sie Regeln für eingehenden und ausgehenden Traffic konfigurieren, damit die Dataplex API Ressourcen und Metadaten verwalten kann.

Hinweis

Machen Sie sich mit VPC Service Controls vertraut.
Machen Sie sich mit den Konzepten von Datenprodukten vertraut.
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Verwalten von VPC Service Controls-Perimetern und Dataplex Universal Catalog-Ressourcenhaben.

Regeln für Dienstperimeter zum Erstellen von Datenprodukten

Die folgenden Projekte definieren die Kommunikationsgrenzen, die zum Erstellen eines Datenprodukts über Dienstperimeter hinweg erforderlich sind:

Projekt R (Aufrufer): Das Projekt, in dem sich der Nutzer, das Dienstkonto oder die Anwendung befindet, die die Erstellungsanfrage initiiert.
Projekt E (Datenprodukt): Das Projekt, das die Datenproduktressource hostet.

Eine Abbildung mit zwei Dienstperimetern. Perimeter 1 enthält Projekt R (Aufrufer) und Perimeter 2 enthält Projekt E (Datenprodukt).

Wenn Sie ein Datenprodukt in einem anderen Projekt als Ihrem Aufruferprojekt erstellen möchten, konfigurieren Sie die folgenden Regeln für eingehenden und ausgehenden Traffic:

Projekt	Regel erforderlich
Projekt R	Regel für ausgehenden Traffic für Projekt E
Projekt E	Regel für eingehenden Traffic für Projekt R

Regeln für Dienstperimeter zum Verwalten von Daten-Assets

Wenn Sie Daten-Assets verwalten (z. B. eine BigQuery-Tabelle zu einem Datenprodukt hinzufügen), sind drei verschiedene Projektrollen beteiligt:

Projekt R (Aufrufer): Das Projekt, das die Anfrage zur Assetverwaltung initiiert.
Projekt D (Datenprodukt): Das Projekt, das das Datenprodukt hostet, in dem die Assets gruppiert sind. Ein Asset in einem Datenprodukt ist ein Verweis auf eine physische Datenressource wie ein BigQuery-Dataset, eine BigQuery-Tabelle oder eine BigQuery-Ansicht. Ein Datenprodukt kann ein oder mehrere Assets enthalten.
Projekt S (Quellressource): Das Projekt, in dem sich die eigentliche Datenressource befindet.

Eine Abbildung mit drei Dienstperimetern. Perimeter 1 enthält Projekt R (Aufrufer), Perimeter 2 enthält Projekt D (Datenprodukt) und Perimeter 3 enthält Projekt S (Quellressource).

Wenn Sie ein Daten-Asset hinzufügen oder verwalten, das sich in einem anderen Projekt als dem Datenprodukt befindet, müssen Sie die Kommunikation zwischen allen drei Projekten überbrücken, indem Sie die folgenden Regeln für eingehenden und ausgehenden Traffic konfigurieren:

Projekt	Erforderliche Regeln
Projekt R	Regel für ausgehenden Traffic für Projekt D Regel für ausgehenden Traffic für Projekt S
Projekt D	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt S
Projekt S	Regel für eingehenden Traffic für Projekt R Regel für eingehenden Traffic für Projekt D

Regeln für Dienstperimeter zum Hinzufügen von Aspekten und Metadaten zu einem Datenprodukt

Die folgenden Projekte definieren die Kommunikationsgrenzen, die zum Anhängen von Metadaten und Aspekten an ein Datenprodukt über Dienstperimeter hinweg erforderlich sind:

Projekt R (Aufrufer): Das Projekt, das die Anfrage zum Anhängen eines Aspekts initiiert.
Projekt D (Datenprodukt): Das Projekt, das das Datenprodukt hostet, das den Aspekt empfängt.
Projekt A (Aspekttyp): Das Projekt, in dem der spezifische Aspekttyp (das Metadatenschema) definiert und gespeichert ist.

Wenn sich diese Projekte in separaten Perimetern befinden, konfigurieren Sie die folgenden Regeln für eingehenden und ausgehenden Traffic, um Aspekte anzuhängen:

Projekt	Erforderliche Regeln
Projekt R	Regel für ausgehenden Traffic für Projekt D Regel für ausgehenden Traffic für Projekt A
Projekt D	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt A
Projekt A	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt D

Regeln für Dienstperimeter zum Verwenden von Datenprodukten

Damit Nutzer von Datenprodukten auf Datenprodukte zugreifen können, die durch VPC Service Controls geschützt sind, müssen Sie das Nutzerprojekt oder die spezifischen Nutzeridentitäten auf die Zulassungsliste setzen. Konfigurieren Sie Regeln für eingehenden Traffic im Dienstperimeter des Datenprodukts, um diesen Zugriff zu gewähren.

Beschränkungen

Datenprodukte unterstützen keine methodenbasierten Regeln. Damit die Funktionalität gewährleistet ist, müssen Sie alle Methoden (*) für den dataplex.googleapis.com Dienst in Ihren Regeln für eingehenden und ausgehenden Traffic zulassen. Beispiel:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Wenn Ihre zugrunde liegenden BigQuery-Ressourcen durch Dienstperimeter geschützt sind, müssen Sie Regeln für eingehenden und ausgehenden Traffic für den Dienst bigquery.googleapis.com konfigurieren. Beispiel:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Hinweis: Regeln für eingehenden und ausgehenden Traffic für BigQuery sind nicht erforderlich, wenn Sie nur ein Datenprodukt erstellen.

Nächste Schritte

Weitere Informationen zu Datenprodukten.
Regeln für eingehenden und ausgehenden Traffic .