Utiliser VPC Service Controls avec les produits de données

Cette page explique comment configurer VPC Service Controls pour sécuriser vos produits de données.

Utilisez VPC Service Controls pour empêcher l'exfiltration de données et vous assurer que la communication entre les produits de données, les composants de données et les utilisateurs reste dans les périmètres autorisés.

Un produit de données est un regroupement logique de ressources (éléments de données) pouvant s'étendre sur plusieurs projets. Lorsque vos projets appartiennent à différents périmètres VPC Service Controls, vous devez configurer des règles d'entrée et de sortie pour permettre à l'API Dataplex de gérer les ressources et les métadonnées.

Avant de commencer

Familiarisez-vous avec VPC Service Controls.
Comprendre les concepts des produits de données
Assurez-vous de disposer des autorisations nécessaires pour gérer les périmètres VPC Service Controls et les ressources Dataplex Universal Catalog.

Règles relatives aux périmètres de service pour la création de produits de données

Les projets suivants définissent les limites de communication requises pour créer un produit de données dans les périmètres de service :

Projet R (appelant) : projet dans lequel réside l'utilisateur, le compte de service ou l'application qui lance la requête de création.
Projet E (produit de données) : projet qui héberge la ressource du produit de données.

Illustration montrant deux périmètres de service. Le périmètre 1 contient le projet R (appelant) et le périmètre 2 contient le projet E (produit de données).

Pour créer un produit de données dans un projet différent de votre projet appelant, configurez les règles d'entrée et de sortie suivantes :

Projet	Règle requise
Projet R	Règle de sortie pour le projet E
Projet E	Règle d'Ingress pour le projet R

Règles de périmètre de service pour la gestion des composants de données

Lorsque vous gérez des composants de données (par exemple, en ajoutant une table BigQuery à un produit de données), l'architecture implique trois rôles de projet distincts :

Projet R (appelant) : projet qui lance la demande de gestion des composants.
Projet D (produit de données) : projet hébergeant le produit de données qui regroupe les composants. Dans un produit de données, un élément est un pointeur vers une ressource de données physique, telle qu'un ensemble de données, une table ou une vue BigQuery. Un produit de données peut contenir un ou plusieurs composants.
Projet S (ressource source) : projet dans lequel se trouve la ressource de données réelle.

Illustration montrant trois périmètres de service. Le périmètre 1 contient le projet R (appelant), le périmètre 2 contient le projet D (produit de données) et le périmètre 3 contient le projet S (ressource source).

Lorsque vous ajoutez ou gérez un composant de données qui réside dans un projet différent de celui du produit de données, vous devez établir la communication entre les trois projets en configurant les règles d'entrée et de sortie suivantes :

Projet	Règles requises
Projet R	Règle de sortie pour le projet D Règle de sortie pour le projet S
Projet D	Règle d'Ingress pour le projet R Règle de sortie pour le projet S
Projet S	Règle d'Ingress pour le projet R Règle d'entrée pour le projet D

Règles du périmètre de service pour ajouter des aspects et des métadonnées à un produit de données

Les projets suivants définissent les limites de communication requises pour associer des métadonnées et des aspects à un produit de données dans les périmètres de service :

Projet R (appelant) : projet à l'origine de la demande d'association d'un aspect.
Projet D (produit de données) : projet hébergeant le produit de données recevant l'aspect.
Projet A (type d'aspect) : projet dans lequel le type d'aspect spécifique (schéma de métadonnées) est défini et stocké.

Pour associer des aspects lorsque ces projets résident dans des périmètres distincts, configurez les règles d'entrée et de sortie suivantes :

Projet	Règles requises
Projet R	Règle de sortie pour le projet D Règle de sortie pour le projet A
Projet D	Règle d'Ingress pour le projet R Règle de sortie pour le projet A
Projet A	Règle d'Ingress pour le projet R Règle de sortie pour le projet D

Règles relatives aux périmètres de service pour la consommation de produits de données

Pour que les consommateurs de produits de données puissent accéder aux produits de données protégés par VPC Service Controls, vous devez ajouter le projet consommateur ou les identités utilisateur spécifiques à la liste d'autorisation. Pour accorder cet accès aux consommateurs de produits de données, configurez des règles d'entrée dans le périmètre de service du produit de données.

Limites

Les produits de données ne sont pas compatibles avec les règles basées sur des méthodes. Pour garantir le bon fonctionnement, vous devez autoriser toutes les méthodes (*) pour le service dataplex.googleapis.com dans vos règles d'entrée et de sortie. Exemple :
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Si vos ressources BigQuery sous-jacentes sont protégées par des périmètres de service, vous devez configurer des règles d'entrée et de sortie pour le service bigquery.googleapis.com. Exemple :
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Remarque : Les règles d'Ingress et de sortie pour BigQuery ne sont pas requises lorsque vous ne faites que créer un produit de données.

Étapes suivantes

En savoir plus sur les produits de données
Comprendre les règles d'entrée et de sortie