データ プロダクトで VPC Service Controls を使用する

このページでは、データ プロダクトを保護するように VPC Service Controls を構成する方法について説明します。

VPC Service Controls を使用してデータ漏洩を防ぎ、データ プロダクト、データアセット、ユーザー間の通信が承認された境界内に留まるようにします。

データ プロダクトは、複数のプロジェクトにまたがるリソース(データアセット)の論理グループです。プロジェクトが異なる VPC Service Controls 境界に属している場合は、Dataplex API がリソースとメタデータを管理できるように上り(内向き)ルールと下り(外向き)ルールを構成する必要があります。

始める前に

データ プロダクトを作成するためのサービス境界ルール

次のプロジェクトは、サービス境界を越えてデータ プロダクトを作成するために必要な通信境界を定義します。

  • プロジェクト R(呼び出し元): 作成リクエストを開始するユーザー、サービス アカウント、またはアプリケーションが存在するプロジェクト。

  • プロジェクト E(データ プロダクト): データ プロダクト リソースをホストするプロジェクト。

2 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R(呼び出し元)が含まれ、境界 2 にはプロジェクト E(データ プロダクト)が含まれています。

呼び出し元プロジェクトとは異なるプロジェクトにデータ プロダクトを作成するには、次の上り(内向き)ルールと下り(外向き)ルールを構成します。

プロジェクト ルールが必要
Project R プロジェクト E の下り(外向き)ルール
プロジェクト E プロジェクト R の上り(内向き)ルール

データ アセットを管理するためのサービス境界ルール

データアセットを管理する(BigQuery テーブルをデータ プロダクトに追加するなど)場合、アーキテクチャには 3 つの異なるプロジェクト ロールが含まれます。

  • プロジェクト R(呼び出し元): アセット管理リクエストを開始するプロジェクト。

  • プロジェクト D(データ プロダクト): アセットをグループ化するデータ プロダクトをホストするプロジェクト。データ プロダクトのアセットは、BigQuery データセット、テーブル、ビューなどの物理データリソースへのポインタです。データ プロダクトには 1 つ以上のアセットを含めることができます。

  • プロジェクト S(ソースリソース): 実際のデータリソースが配置されているプロジェクト。

3 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R(呼び出し元)、境界 2 にはプロジェクト D(データ プロダクト)、境界 3 にはプロジェクト S(ソースリソース)が含まれています。

データ プロダクトとは異なるプロジェクトにあるデータアセットを追加または管理する場合は、次の上り(内向き)ルールと下り(外向き)ルールを構成して、3 つのプロジェクト間の通信をブリッジする必要があります。

プロジェクト ルールが必要
Project R プロジェクト D の下り(外向き)ルール
プロジェクト S の下り(外向き)ルール
プロジェクト D プロジェクト R の上り(内向き)ルール
プロジェクト S の下り(外向き)ルール
Project S プロジェクト R の上り(内向き)ルール
プロジェクト D の上り(内向き)ルール

データ プロダクトにアスペクトとメタデータを追加するためのサービス境界ルール

次のプロジェクトでは、サービス境界を越えてメタデータとアスペクトをデータ プロダクトに関連付けるために必要な通信境界を定義します。

  • プロジェクト R(呼び出し元): アスペクトの追加リクエストを開始するプロジェクト。

  • プロジェクト D(データ プロダクト): アスペクトを受信するデータ プロダクトをホストするプロジェクト。

  • プロジェクト A(アスペクト タイプ): 特定のアスペクト タイプ(メタデータ スキーマ)が定義され、保存されているプロジェクト。

3 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R(呼び出し元)、境界 2 にはプロジェクト D(データ プロダクト)、境界 3 にはプロジェクト A(アスペクト タイプ)が含まれています。

これらのプロジェクトが別々の境界に存在する場合にアスペクトを関連付けるには、次の上り(内向き)ルールと下り(外向き)ルールを構成します。

プロジェクト ルールが必要
Project R プロジェクト D の下り(外向き)ルール
プロジェクト A の下り(外向き)ルール
プロジェクト D プロジェクト R の上り(内向き)ルール
プロジェクト A の下り(外向き)ルール
プロジェクト A プロジェクト R の上り(内向き)ルール
プロジェクト D の下り(外向き)ルール

データ プロダクトを使用するためのサービス境界ルール

VPC Service Controls によって保護されたデータ プロダクトにデータ プロダクト コンシューマーがアクセスするには、コンシューマー プロジェクトまたは特定のユーザー ID を許可リストに登録する必要があります。データ プロダクト コンシューマーにこのアクセス権を付与するには、データ プロダクトのサービス境界で上り(内向き)ルールを構成します。

制限事項

  • データ プロダクトはメソッドベースのルールをサポートしていません。機能を確保するには、上り(内向き)ルールと下り(外向き)ルールで dataplex.googleapis.com サービスのすべてのメソッド(*)を許可する必要があります。次に例を示します。

    ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID

  • 基盤となる BigQuery リソースがサービス境界で保護されている場合は、bigquery.googleapis.com サービスの上り(内向き)ルールと下り(外向き)ルールを構成する必要があります。次に例を示します。

    ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID

次のステップ