データプロダクトで VPC Service Controls を使用する

このページでは、VPC Service Controls を構成してデータプロダクトを保護する方法について説明します。

VPC Service Controls を使用してデータ漏洩を防ぎ、データプロダクト、データアセット、ユーザー間の通信が承認された境界内にとどまるようにします。

データプロダクトは、複数のプロジェクトにまたがるリソース（データアセット）の論理グループです。プロジェクトが異なる VPC Service Controls 境界に属している場合は、Dataplex API がリソースとメタデータを管理できるように、上り（内向き）ルールと下り（外向き）ルールを構成する必要があります。

始める前に

VPC Service Controls について理解する。
データプロダクトのコンセプトを理解する。
VPC Service Controls の境界と Knowledge Catalog リソースを管理するために必要な権限があることを確認する。

データプロダクトを作成するためのサービス境界ルール

次のプロジェクトは、サービス境界をまたいでデータプロダクトを作成するために必要な通信境界を定義します。

プロジェクト R（呼び出し元）: 作成リクエストを開始するユーザー、サービスアカウント、アプリケーションが存在するプロジェクト。
プロジェクト E（データプロダクト）: データプロダクトリソースをホストするプロジェクト。

2 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R（呼び出し元）が含まれ、境界 2 にはプロジェクト E（データプロダクト）が含まれています。

呼び出し元プロジェクトとは異なるプロジェクトにデータプロダクトを作成するには、次の上り（内向き）ルールと下り（外向き）ルールを構成します。

プロジェクト	必要なルール
プロジェクト R	プロジェクト E の下り（外向き）ルール
プロジェクト E	プロジェクト R の上り（内向き）ルール

データアセットを管理するためのサービス境界ルール

データアセット（BigQuery テーブルをデータプロダクトに追加するなど）を管理する場合、アーキテクチャには次の 3 つの異なるプロジェクトロールが含まれます。

プロジェクト R（呼び出し元）: アセット管理リクエストを開始するプロジェクト。
プロジェクト D（データプロダクト）: アセットをグループ化するデータプロダクトをホストするプロジェクト。データプロダクトのアセットは、BigQuery データセット、テーブル、ビューなどの物理データリソースへのポインタです。データプロダクトには 1 つ以上のアセットを含めることができます。
プロジェクト S（ソースリソース）: 実際のデータリソースが存在するプロジェクト。

3 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R（呼び出し元）、境界 2 にはプロジェクト D（データプロダクト）、境界 3 にはプロジェクト S（ソースリソース）が含まれています。

データプロダクトとは異なるプロジェクトに存在するデータアセットを追加または管理する場合は、次の上り（内向き）ルールと下り（外向き）ルールを構成して、3 つのプロジェクト間の通信をブリッジする必要があります。

プロジェクト	必要なルール
プロジェクト R	プロジェクト D の下り（外向き）ルールプロジェクト S の下り（外向き）ルール
プロジェクト D	プロジェクト R の上り（内向き）ルールプロジェクト S の下り（外向き）ルール
プロジェクト S	プロジェクト R プロジェクト D の上り（内向き）ルール

データプロダクトにアスペクトとメタデータを追加するためのサービス境界ルール

次のプロジェクトは、サービス境界をまたいでデータプロダクトにメタデータとアスペクトをアタッチするために必要な通信境界を定義します。

プロジェクト R（呼び出し元）: アスペクトのアタッチリクエストを開始するプロジェクト。
プロジェクト D（データプロダクト）: アスペクトを受け取るデータプロダクトをホストするプロジェクト。
プロジェクト A（アスペクトタイプ）: 特定のアスペクトタイプ（メタデータスキーマ）が定義され、保存されるプロジェクト。

3 つのサービス境界を示すイラスト。境界 1 にはプロジェクト R（呼び出し元）、境界 2 にはプロジェクト D（データプロダクト）、境界 3 にはプロジェクト A（アスペクトタイプ）が含まれています。

これらのプロジェクトが別々の境界に存在する場合にアスペクトをアタッチするには、次の上り（内向き）ルールと下り（外向き）ルールを構成します。

プロジェクト	必要なルール
プロジェクト R	プロジェクト D の下り（外向き）ルールプロジェクト A の下り（外向き）ルール
プロジェクト D	プロジェクト R の上り（内向き）ルールプロジェクト A の下り（外向き）ルール
プロジェクト A	プロジェクト R の上り（内向き）ルールプロジェクト D の下り（外向き）ルール

データプロダクトを使用するためのサービス境界ルール

データプロダクトコンシューマーが VPC Service Controls によって保護されたデータプロダクトにアクセスするには、コンシューマープロジェクトまたは特定のユーザー ID を許可リストに登録する必要があります。データプロダクトコンシューマーにこのアクセス権を付与するには、データプロダクトのサービス境界で上り（内向き）ルールを構成します。

制限事項

データプロダクトはメソッドベースのルールをサポートしていません。機能を確保するには、上り（内向き）ルールと下り（外向き）ルールで dataplex.googleapis.com サービスのすべてのメソッド（*）を許可する必要があります。次に例を示します。
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
基盤となる BigQuery リソースがサービス境界で保護されている場合は、bigquery.googleapis.com サービスの上り（内向き）ルールと下り（外向き）ルールを構成する必要があります。次に例を示します。
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
注: データプロダクトを作成するだけの場合は、BigQuery の上り（内向き）ルールと下り（外向き）ルールは必要ありません。

次のステップ

データプロダクトの詳細を確認する。
上り（内向き）ルールと下り（外向き）ルールについて理解する。