Utilizzare i Controlli di servizio VPC con i prodotti di dati

Questa pagina descrive come configurare i Controlli di servizio VPC per proteggere i prodotti di dati.

Utilizza Controlli di servizio VPC per impedire l'esfiltrazione di dati e assicurarti che la comunicazione tra prodotti di dati, asset di dati, e utenti rimanga all'interno dei perimetri autorizzati.

Un prodotto di dati è un raggruppamento logico di risorse (asset di dati) che può estendersi su più progetti. Quando i progetti appartengono a perimetri di Controlli di servizio VPC diversi, devi configurare le regole in entrata e in uscita per consentire all'API Dataplex di gestire le risorse e i metadati.

Prima di iniziare

Acquisisci familiarità con i Controlli di servizio VPC.
Comprendi i concetti dei prodotti di dati.
Assicurati di disporre delle autorizzazioni necessarie per gestire i perimetri dei Controlli di servizio VPC e le risorse di Dataplex Universal Catalog.

Regole del perimetro di servizio per la creazione di prodotti di dati

I seguenti progetti definiscono i limiti di comunicazione necessari per creare un prodotto di dati tra i perimetri di servizio:

Progetto R (chiamante): il progetto in cui risiede l'utente, account di servizio o l'applicazione che avvia la richiesta di creazione.
Progetto E (prodotto di dati): il progetto che ospita la risorsa del prodotto di dati.

Illustrazione che mostra due perimetri di servizio. Il perimetro 1 contiene
il progetto R (chiamante) e il perimetro 2 contiene il progetto E (prodotto di dati).

Per creare un prodotto di dati in un progetto diverso dal progetto chiamante, configura le seguenti regole in entrata e in uscita:

Progetto	Regola obbligatoria
Progetto R	Regola in uscita per il progetto E
Progetto E	Regola in entrata per il progetto R

Regole del perimetro di servizio per la gestione degli asset di dati

Quando gestisci gli asset di dati (ad esempio aggiungendo una tabella BigQuery a un prodotto di dati), l'architettura prevede tre ruoli di progetto distinti:

Progetto R (chiamante): il progetto che avvia la richiesta di gestione degli asset.
Progetto D (prodotto di dati): il progetto che ospita il prodotto di dati che raggruppa gli asset. Un asset in un prodotto di dati è un puntatore a una risorsa di dati fisica, come un set di dati, una tabella o una vista BigQuery. Un prodotto di dati può contenere uno o più asset.
Progetto S (risorsa di origine): il progetto in cui si trova la risorsa di dati effettiva.

Illustrazione che mostra tre perimetri di servizio. Il perimetro 1 contiene
il progetto R (chiamante), il perimetro 2 contiene il progetto D (prodotto di dati) e
il perimetro 3 contiene il progetto S (risorsa di origine).

Quando aggiungi o gestisci un asset di dati che risiede in un progetto diverso dal prodotto di dati, devi collegare la comunicazione tra tutti e tre i progetti configurando le seguenti regole in entrata e in uscita:

Progetto	Regole obbligatorie
Progetto R	Regola in uscita per il progetto D Regola in uscita per il progetto S
Progetto D	Regola in entrata per il progetto R Regola in uscita per il progetto S
Progetto S	Regola in entrata per il progetto R Regola in entrata per il progetto D

Regole del perimetro di servizio per l'aggiunta di aspetti e metadati a un prodotto di dati

I seguenti progetti definiscono i limiti di comunicazione necessari per collegare metadati e aspetti a un prodotto di dati tra i perimetri di servizio:

Progetto R (chiamante): il progetto che avvia la richiesta di collegamento di un aspetto.
Progetto D (prodotto di dati): il progetto che ospita il prodotto di dati che riceve l'aspetto.
Progetto A (tipo di aspetto): il progetto in cui è definito e archiviato il tipo di aspetto specifico (lo schema dei metadati).

Per collegare gli aspetti quando questi progetti risiedono in perimetri separati, configura le seguenti regole in entrata e in uscita:

Progetto	Regole obbligatorie
Progetto R	Regola in uscita per il progetto D Regola in uscita per il progetto A
Progetto D	Regola in entrata per il progetto R Regola in uscita per il progetto A
Progetto A	Regola in entrata per il progetto R Regola in uscita per il progetto D

Regole del perimetro di servizio per l'utilizzo dei prodotti di dati

Affinché i consumatori di prodotti di dati possano accedere ai prodotti di dati protetti dai Controlli di servizio VPC, devi inserire nella lista consentita il progetto del consumatore o le identità utente specifiche. Per concedere questo accesso ai consumatori di prodotti di dati, configura le regole in entrata nel perimetro di servizio del prodotto di dati.

Limitazioni

I prodotti di dati non supportano le regole basate sui metodi. Per garantire la funzionalità, devi consentire tutti i metodi (*) per il servizio dataplex.googleapis.com nelle tue regole in entrata e in uscita. Ad esempio:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Se le risorse BigQuery sottostanti sono protette dai perimetri di servizio, devi configurare le regole in entrata e in uscita per il servizio bigquery.googleapis.com. Ad esempio:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Nota: le regole in entrata e in uscita per BigQuery non sono obbligatorie quando crei solo un prodotto di dati.

Passaggi successivi

Scopri di più sui prodotti di dati.
Scopri di più sulle regole in entrata e in uscita.