VPC Service Controls mit Datenprodukten verwenden

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls konfigurieren, um Ihre Datenprodukte zu schützen.

Verwenden Sie VPC Service Controls, um Daten-Exfiltration zu verhindern und dafür zu sorgen, dass die Kommunikation zwischen Datenprodukten, Daten-Assets und Nutzern innerhalb autorisierter Perimeter bleibt.

Ein Datenprodukt ist eine logische Gruppierung von Ressourcen (Daten-Assets), die sich über mehrere Projekte erstrecken kann. Wenn Ihre Projekte zu verschiedenen VPC Service Controls-Perimetern gehören, müssen Sie Regeln für ein- und ausgehenden Traffic konfigurieren, damit die Dataplex API Ressourcen und Metadaten verwalten kann.

Hinweis

Machen Sie sich mit VPC Service Controls vertraut.
Konzepte für Datenprodukte
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Verwalten von VPC Service Controls-Perimetern und Dataplex Universal Catalog-Ressourcen haben.

Regeln für Dienstperimeter zum Erstellen von Datenprodukten

Die folgenden Projekte definieren die Kommunikationsgrenzen, die zum Erstellen eines Datenprodukts über Dienstperimeter hinweg erforderlich sind:

Projekt R (Aufrufer): Das Projekt, in dem sich der Nutzer, das Dienstkonto oder die Anwendung befindet, die die Erstellungsanfrage initiiert.
Projekt E (Datenprodukt): Das Projekt, in dem die Datenproduktressource gehostet wird.

Eine Abbildung mit zwei Dienstperimetern. Perimeter 1 enthält Projekt R (Aufrufer) und Perimeter 2 enthält Projekt E (Datenprodukt).

Wenn Sie ein Datenprodukt in einem anderen Projekt als dem Aufruferprojekt erstellen möchten, konfigurieren Sie die folgenden Regeln für eingehenden und ausgehenden Traffic:

Projekt	Regel erforderlich
Projekt R	Regel für ausgehenden Traffic für Projekt E
Projekt E	Regel für eingehenden Traffic für Projekt R

Regeln für Dienstperimeter zum Verwalten von Daten-Assets

Wenn Sie Daten-Assets verwalten, z. B. eine BigQuery-Tabelle zu einem Datenprodukt hinzufügen, sind in der Architektur drei verschiedene Projektrollen enthalten:

Projekt R (Aufrufer): Das Projekt, das die Anfrage zur Asset-Verwaltung initiiert.
Projekt D (Datenprodukt): Das Projekt, in dem das Datenprodukt gehostet wird, mit dem die Assets gruppiert werden. Ein Asset in einem Datenprodukt ist ein Verweis auf eine physische Datenressource wie ein BigQuery-Dataset, eine BigQuery-Tabelle oder eine BigQuery-Ansicht. Ein Datenprodukt kann ein oder mehrere Assets enthalten.
Projekt S (Quellressource): Das Projekt, in dem sich die eigentliche Datenressource befindet.

Eine Abbildung mit drei Dienstperimetern. Perimeter 1 enthält Projekt R (Aufrufer), Perimeter 2 enthält Projekt D (Datenprodukt) und Perimeter 3 enthält Projekt S (Quellressource).

Wenn Sie ein Daten-Asset hinzufügen oder verwalten, das sich in einem anderen Projekt als dem Datenprodukt befindet, müssen Sie die Kommunikation zwischen allen drei Projekten überbrücken, indem Sie die folgenden Regeln für eingehenden und ausgehenden Traffic konfigurieren:

Projekt	Regeln erforderlich
Projekt R	Regel für ausgehenden Traffic für Projekt D Regel für ausgehenden Traffic für Projekt S
Projekt D	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt S
Projekt S	Regel für eingehenden Traffic für Projekt R Regel für eingehenden Traffic für Projekt D

Regeln für Dienstperimeter zum Hinzufügen von Aspekten und Metadaten zu einem Datenprodukt

Die folgenden Projekte definieren die Kommunikationsgrenzen, die erforderlich sind, um einem Datenprodukt über Dienstperimeter hinweg Metadaten und Aspekte hinzuzufügen:

Projekt R (Aufrufer): Das Projekt, das die Anfrage zum Anhängen eines Aspekts initiiert.
Projekt D (Datenprodukt): Das Projekt, in dem das Datenprodukt gehostet wird, das den Aspekt empfängt.
Projekt A (Aspekttyp): Das Projekt, in dem der spezifische Aspekttyp (das Metadatenschema) definiert und gespeichert ist.

Wenn sich diese Projekte in separaten Perimetern befinden, konfigurieren Sie die folgenden Regeln für ein- und ausgehenden Traffic, um Aspekte anzuhängen:

Projekt	Regeln erforderlich
Projekt R	Regel für ausgehenden Traffic für Projekt D Regel für ausgehenden Traffic für Projekt A
Projekt D	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt A
Projekt A	Regel für eingehenden Traffic für Projekt R Regel für ausgehenden Traffic für Projekt D

Regeln für Dienstperimeter für die Nutzung von Datenprodukten

Damit Nutzer von Datenprodukten auf Datenprodukte zugreifen können, die durch VPC Service Controls geschützt sind, müssen Sie das Nutzerprojekt oder die spezifischen Nutzeridentitäten auf die Zulassungsliste setzen. Wenn Sie Datennutzern diesen Zugriff gewähren möchten, konfigurieren Sie Regeln für eingehenden Traffic im Serviceperimeter des Datenprodukts.

Beschränkungen

Methodenbasierte Regeln werden in Datenprodukten nicht unterstützt. Damit alle Funktionen genutzt werden können, müssen Sie in Ihren Regeln für ein- und ausgehenden Traffic alle Methoden (*) für den Dienst dataplex.googleapis.com zulassen. Beispiel:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Wenn Ihre zugrunde liegenden BigQuery-Ressourcen durch Dienstperimeter geschützt sind, müssen Sie Regeln für eingehenden und ausgehenden Traffic für den bigquery.googleapis.com-Dienst konfigurieren. Beispiel:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Hinweis :Ingress- und Egress-Regeln für BigQuery sind nicht erforderlich, wenn Sie nur ein Datenprodukt erstellen.