Utilizzare i Controlli di servizio VPC con i prodotti di dati

Questa pagina descrive come configurare i Controlli di servizio VPC per proteggere i tuoi prodotti di dati.

Utilizza i Controlli di servizio VPC per impedire l'esfiltrazione di dati e assicurarti che la comunicazione tra prodotti di dati, asset di dati e utenti rimanga all'interno dei perimetri autorizzati.

Un prodotto di dati è un raggruppamento logico di risorse (asset di dati) che possono estendersi a più progetti. Quando i tuoi progetti appartengono a perimetri dei Controlli di servizio VPC diversi, devi configurare regole in entrata e in uscita per consentire all'API Dataplex di gestire risorse e metadati.

Prima di iniziare

Familiarizza con i Controlli di servizio VPC.
Comprendere i concetti dei prodotti di dati.
Assicurati di disporre delle autorizzazioni necessarie per gestire i perimetri Controlli di servizio VPC e le risorse di Dataplex Universal Catalog.

Regole del perimetro di servizio per la creazione di prodotti di dati

I seguenti progetti definiscono i limiti di comunicazione necessari per creare un prodotto di dati tra i perimetri di servizio:

Progetto R (chiamante): il progetto in cui si trova l'utente, account di servizio o l'applicazione che avvia la richiesta di creazione.
Progetto E (prodotto di dati): il progetto che ospita la risorsa del prodotto di dati.

Illustrazione che mostra due perimetri di servizio. Il perimetro 1 contiene
il progetto R (chiamante) e il perimetro 2 contiene il progetto E (prodotto di dati).

Per creare un prodotto di dati in un progetto diverso da quello chiamante, configura le seguenti regole in entrata e in uscita:

Progetto	Regola obbligatoria
Project R	Regola in uscita per il progetto E
Project E	Regola in entrata per il progetto R

Regole del perimetro di servizio per la gestione degli asset di dati

Quando gestisci asset di dati (ad esempio aggiungendo una tabella BigQuery a un prodotto di dati), l'architettura prevede tre ruoli di progetto distinti:

Progetto R (chiamante): il progetto che avvia la richiesta di gestione degli asset.
Progetto D (prodotto di dati): il progetto che ospita il prodotto di dati che raggruppa gli asset. Un asset in un prodotto di dati è un puntatore a una risorsa di dati fisica, come un set di dati, una tabella o una vista BigQuery. Un prodotto di dati può contenere una o più risorse.
Progetto S (risorsa di origine): il progetto in cui si trova la risorsa di dati effettiva.

Illustrazione che mostra tre perimetri di servizio. Il perimetro 1 contiene
il progetto R (chiamante), il perimetro 2 contiene il progetto D (prodotto di dati) e
il perimetro 3 contiene il progetto S (risorsa di origine).

Quando aggiungi o gestisci un asset di dati che si trova in un progetto diverso dal prodotto di dati, devi colmare la comunicazione tra tutti e tre i progetti configurando le seguenti regole in entrata e in uscita:

Progetto	Regole obbligatorie
Project R	Regola in uscita per il progetto D Regola in uscita per il progetto S
Progetto D	Regola in entrata per il progetto R Regola in uscita per il progetto S
Project S	Regola in entrata per il progetto R Regola in entrata per il progetto D

Regole del perimetro di servizio per l'aggiunta di aspetti e metadati a un prodotto di dati

I seguenti progetti definiscono i limiti di comunicazione necessari per collegare metadati e aspetti a un prodotto di dati nei perimetri di servizio:

Progetto R (chiamante): il progetto che avvia la richiesta di allegare un aspetto.
Progetto D (prodotto di dati): il progetto che ospita il prodotto di dati che riceve l'aspetto.
Progetto A (tipo di aspetto): il progetto in cui il tipo di aspetto specifico (lo schema dei metadati) è definito e archiviato.

Per collegare gli aspetti quando questi progetti si trovano in perimetri separati, configura le seguenti regole in entrata e in uscita:

Progetto	Regole obbligatorie
Project R	Regola in uscita per il progetto D Regola in uscita per il progetto A
Progetto D	Regola in entrata per il progetto R Regola in uscita per il progetto A
Progetto A	Regola in entrata per il progetto R Regola in uscita per il progetto D

Regole del perimetro di servizio per l'utilizzo dei prodotti di dati

Affinché i consumatori di prodotti di dati possano accedere ai prodotti di dati protetti da Controlli di servizio VPC, devi inserire nella lista consentita il progetto consumer o le identità utente specifiche. Per concedere questo accesso ai consumatori di prodotti di dati, configura le regole di ingresso nel perimetro di servizio del prodotto di dati.

Limitazioni

I prodotti di dati non supportano le regole basate sul metodo. Per garantire la funzionalità, devi consentire tutti i metodi (*) per il servizio dataplex.googleapis.com nelle regole in entrata e in uscita. Ad esempio:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Se le risorse BigQuery sottostanti sono protette da perimetri di servizio, devi configurare regole in entrata e in uscita per il servizio bigquery.googleapis.com. Ad esempio:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Nota: le regole in entrata e in uscita per BigQuery non sono necessarie quando crei solo un prodotto di dati.

Passaggi successivi

Scopri di più sui prodotti di dati.
Comprendi le regole in entrata e in uscita.