A partir de 10 de abril de 2026, o Dataplex Universal Catalog será chamado de Knowledge Catalog. Os nomes da API, da biblioteca de cliente, da CLI e do IAM permanecem inalterados. Para mais informações, consulte Apresentação do Knowledge Catalog do Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar o VPC Service Controls com produtos de dados

Nesta página, descrevemos como configurar o VPC Service Controls para proteger seus produtos de dados.

Use o VPC Service Controls para evitar a exfiltração de dados e garantir que a comunicação entre produtos de dados, recursos de dados, e usuários permaneça dentro dos perímetros autorizados.

Um produto de dados é um agrupamento lógico de recursos (recursos de dados) que podem abranger vários projetos. Quando seus projetos pertencem a perímetros diferentes do VPC Service Controls, é necessário configurar regras de entrada e saída para permitir que a API Dataplex gerencie recursos e metadados.

Antes de começar

Familiarize-se com o VPC Service Controls.
Entenda os conceitos de produtos de dados.
Verifique se você tem as permissões necessárias para gerenciar perímetros do VPC Service Controls e recursos do Knowledge Catalog.

Regras de perímetro de serviço para criar produtos de dados

Os projetos a seguir definem os limites de comunicação necessários para criar um produto de dados em perímetros de serviço:

Projeto R (autor da chamada) : o projeto em que o usuário, a conta de serviço ou o aplicativo reside que inicia a solicitação de criação.
Projeto E (produto de dados) : o projeto que hospeda o recurso do produto de dados.

Uma ilustração mostrando dois perímetros de serviço. O perímetro 1 contém o projeto R (autor da chamada), e o perímetro 2 contém o projeto E (produto de dados).

Para criar um produto de dados em um projeto diferente do projeto do autor da chamada, configure as seguintes regras de entrada e saída:

Projeto	Regra necessária
Projeto R	Regra de saída para o projeto E
Projeto E	Regra de entrada para o projeto R

Regras de perímetro de serviço para gerenciar recursos de dados

Ao gerenciar recursos de dados (como adicionar uma tabela do BigQuery a um produto de dados), a arquitetura envolve três papéis de projeto distintos:

Projeto R (autor da chamada) : o projeto que inicia a solicitação de gerenciamento de recursos.
Projeto D (produto de dados) : o projeto que hospeda o produto de dados que agrupa os recursos. Um recurso em um produto de dados é um ponteiro para um recurso de dados físico, como um conjunto de dados, uma tabela ou uma visualização do BigQuery. Um produto de dados pode conter um ou mais recursos.
Projeto S (recurso de origem) : o projeto em que o recurso de dados real está localizado.

Uma ilustração mostrando três perímetros de serviço. O perímetro 1 contém o projeto R (autor da chamada), o perímetro 2 contém o projeto D (produto de dados) e o perímetro 3 contém o projeto S (recurso de origem).

Ao adicionar ou gerenciar um recurso de dados que reside em um projeto diferente do produto de dados, é necessário fazer a ponte da comunicação entre os três projetos configurando as seguintes regras de entrada e saída:

Projeto	Regras necessárias
Projeto R	Regra de saída para o projeto D Regra de saída para o projeto S
Projeto D	Regra de entrada para o projeto R Regra de saída para o projeto S
Projeto S	Regra de entrada para o projeto R Regra de entrada para o projeto D

Regras de perímetro de serviço para adicionar aspectos e metadados a um produto de dados

Os projetos a seguir definem os limites de comunicação necessários para anexar metadados e aspectos a um produto de dados em perímetros de serviço:

Projeto R (autor da chamada) : o projeto que inicia a solicitação para anexar um aspecto.
Projeto D (produto de dados) : o projeto que hospeda o produto de dados que recebe o aspecto.
Projeto A (tipo de aspecto) : o projeto em que o tipo de aspecto específico (o esquema de metadados) é definido e armazenado.

Ilustração mostrando três perímetros de serviço. O perímetro 1 contém o projeto R (autor da chamada), o perímetro 2 contém o projeto D (produto de dados) e o perímetro 3 contém o projeto A (tipo de aspecto).

Para anexar aspectos quando esses projetos residem em perímetros separados, configure as seguintes regras de entrada e saída:

Projeto	Regras necessárias
Projeto R	Regra de saída para o projeto D Regra de saída para o projeto A
Projeto D	Regra de entrada para o projeto R Regra de saída para o projeto A
Projeto A	Regra de entrada para o projeto R Regra de entrada para o projeto D

Regras de perímetro de serviço para consumir produtos de dados

Para que os consumidores de produtos de dados acessem produtos de dados protegidos pelo VPC Service Controls, é necessário permitir o projeto do consumidor ou as identidades de usuário específicas. Para conceder esse acesso aos consumidores de produtos de dados, configure regras de entrada no perímetro de serviço do produto de dados.

Limitações

Os produtos de dados não aceitam regras com base em métodos. Para garantir a funcionalidade, é necessário permitir todos os métodos (*) para o serviço dataplex.googleapis.com nas regras de entrada e saída . Exemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Se os recursos subjacentes do BigQuery estiverem protegidos por perímetros de serviço, será necessário configurar regras de entrada e saída para o serviço bigquery.googleapis.com. Exemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Observação: as regras de entrada e saída do BigQuery não são necessárias quando você está apenas criando um produto de dados.

A seguir

Saiba mais sobre produtos de dados.
Entenda as regras de entrada e saída.