Usa los Controles del servicio de VPC con productos de datos

En esta página, se describe cómo configurar los Controles del servicio de VPC para proteger tus productos de datos.

Usa los Controles del servicio de VPC para evitar el robo de datos y garantizar que la comunicación entre los productos de datos, los activos de datos y los usuarios permanezca dentro de los perímetros autorizados.

Un producto de datos es una agrupación lógica de recursos (activos de datos) que pueden abarcar varios proyectos. Cuando tus proyectos pertenecen a diferentes perímetros de Controles del servicio de VPC, debes configurar reglas de entrada y salida para permitir que la API de Dataplex administre recursos y metadatos.

Antes de comenzar

Familiarízate con los Controles del servicio de VPC.
Comprende los conceptos de productos de datos.
Asegúrate de tener los permisos necesarios para administrar los perímetros de los Controles del servicio de VPC y los recursos de Dataplex Universal Catalog.

Reglas del perímetro de servicio para crear productos de datos

Los siguientes proyectos definen los límites de comunicación necesarios para crear un producto de datos en los perímetros de servicio:

Proyecto R (llamador): Es el proyecto en el que reside el usuario, la cuenta de servicio o la aplicación que inicia la solicitud de creación.
Proyecto E (producto de datos): Es el proyecto que aloja el recurso del producto de datos.

Ilustración que muestra dos perímetros de servicio. El perímetro 1 contiene el proyecto R (llamador) y el perímetro 2 contiene el proyecto E (producto de datos).

Para crear un producto de datos en un proyecto diferente al proyecto que realiza la llamada, configura las siguientes reglas de entrada y salida:

Proyecto	Regla obligatoria
Proyecto R	Regla de salida del proyecto E
Proyecto E	Regla de entrada para el proyecto R

Reglas del perímetro de servicio para administrar recursos de datos

Cuando administras activos de datos (por ejemplo, cuando agregas una tabla de BigQuery a un producto de datos), la arquitectura incluye tres roles de proyecto distintos:

Proyecto R (llamador): Es el proyecto que inicia la solicitud de administración de recursos.
Proyecto D (producto de datos): Es el proyecto que aloja el producto de datos que agrupa los recursos. Un activo en un producto de datos es un puntero a un recurso de datos físico, como un conjunto de datos, una tabla o una vista de BigQuery. Un producto de datos puede contener uno o más recursos.
Proyecto S (recurso de origen): Es el proyecto en el que se encuentra el recurso de datos real.

Ilustración que muestra tres perímetros de servicio. El perímetro 1 contiene el proyecto R (llamador), el perímetro 2 contiene el proyecto D (producto de datos) y el perímetro 3 contiene el proyecto S (recurso de origen).

Cuando agregas o administras un activo de datos que reside en un proyecto diferente al del producto de datos, debes conectar la comunicación entre los tres proyectos configurando las siguientes reglas de entrada y salida:

Proyecto	Reglas obligatorias
Proyecto R	Regla de salida para el proyecto D Regla de salida para el proyecto S
Proyecto D	Regla de entrada para el proyecto R Regla de salida para el proyecto S
Proyecto S	Regla de entrada para el proyecto R Regla de entrada para el proyecto D

Reglas del perímetro de servicio para agregar aspectos y metadatos a un producto de datos

Los siguientes proyectos definen los límites de comunicación necesarios para adjuntar metadatos y aspectos a un producto de datos en todos los perímetros de servicio:

Proyecto R (llamador): Es el proyecto que inicia la solicitud para adjuntar un aspecto.
Proyecto D (producto de datos): Es el proyecto que aloja el producto de datos que recibe el aspecto.
Proyecto A (tipo de aspecto): Es el proyecto en el que se define y almacena el tipo de aspecto específico (el esquema de metadatos).

Para adjuntar aspectos cuando estos proyectos residen en perímetros separados, configura las siguientes reglas de entrada y salida:

Proyecto	Reglas obligatorias
Proyecto R	Regla de salida para el proyecto D Regla de salida para el proyecto A
Proyecto D	Regla de entrada para el proyecto R Regla de salida para el proyecto A
Proyecto A	Regla de entrada para el proyecto R Regla de salida para el proyecto D

Reglas del perímetro de servicio para consumir productos de datos

Para que los consumidores de productos de datos accedan a los productos de datos protegidos por los Controles del servicio de VPC, debes incluir en la lista de entidades permitidas el proyecto del consumidor o las identidades de usuario específicas. Para otorgar este acceso a los consumidores de productos de datos, configura reglas de entrada en el perímetro de servicio del producto de datos.

Limitaciones

Los productos de datos no admiten reglas basadas en métodos. Para garantizar la funcionalidad, debes permitir todos los métodos (*) para el servicio dataplex.googleapis.com en tus reglas de entrada y salida. Por ejemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Si tus recursos subyacentes de BigQuery están protegidos por perímetros de servicio, debes configurar reglas de entrada y salida para el servicio bigquery.googleapis.com. Por ejemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Nota: No se requieren reglas de entrada y salida para BigQuery cuando solo creas un producto de datos.

¿Qué sigue?

Obtén más información sobre los productos de datos.
Comprende las reglas de entrada y salida.