데이터 제품과 함께 VPC 서비스 제어 사용

이 페이지에서는 VPC 서비스 제어를 구성하여 데이터 제품을 보호하는 방법을 설명합니다.

VPC 서비스 제어를 사용하여 데이터 무단 반출을 방지하고 데이터 제품, 데이터 애셋, 사용자 간의 통신이 승인된 경계 내에 유지되도록 합니다.

데이터 제품은 여러 프로젝트에 걸쳐 있을 수 있는 리소스 (데이터 애셋)의 논리적 그룹입니다. 프로젝트가 서로 다른 VPC 서비스 제어 경계에 속하는 경우 Dataplex API가 리소스와 메타데이터를 관리할 수 있도록 인그레스 및 이그레스 규칙을 구성해야 합니다.

시작하기 전에

데이터 제품 생성을 위한 서비스 경계 규칙

다음 프로젝트는 서비스 경계 전반에서 데이터 제품을 만드는 데 필요한 통신 경계를 정의합니다.

  • 프로젝트 R (호출자): 생성 요청을 시작하는 사용자, 서비스 계정 또는 애플리케이션이 있는 프로젝트입니다.

  • 프로젝트 E (데이터 제품): 데이터 제품 리소스를 호스팅하는 프로젝트입니다.

두 개의 서비스 경계를 보여주는 그림 경계 1에는 프로젝트 R (호출자)이 포함되고 경계 2에는 프로젝트 E (데이터 제품)가 포함됩니다.

호출자 프로젝트와 다른 프로젝트에 데이터 제품을 만들려면 다음 인그레스 및 이그레스 규칙을 구성하세요.

프로젝트 규칙 필수
프로젝트 R 프로젝트 E의 이그레스 규칙
프로젝트 E 프로젝트 R의 인그레스 규칙

데이터 애셋 관리를 위한 서비스 경계 규칙

데이터 애셋 (예: 데이터 제품에 BigQuery 테이블 추가)을 관리할 때 아키텍처에는 다음과 같은 세 가지 고유한 프로젝트 역할이 포함됩니다.

  • 프로젝트 R (호출자): 애셋 관리 요청을 시작하는 프로젝트입니다.

  • 프로젝트 D (데이터 제품): 애셋을 그룹화하는 데이터 제품을 호스팅하는 프로젝트입니다. 데이터 제품의 애셋은 BigQuery 데이터 세트, 테이블, 뷰와 같은 실제 데이터 리소스를 가리키는 포인터입니다. 데이터 제품에는 하나 이상의 애셋이 포함될 수 있습니다.

  • 프로젝트 S (소스 리소스): 실제 데이터 리소스가 있는 프로젝트입니다.

서비스 경계 3개를 보여주는 그림 경계 1에는 프로젝트 R (호출자)이 포함되고, 경계 2에는 프로젝트 D (데이터 제품)가 포함되고, 경계 3에는 프로젝트 S (소스 리소스)가 포함됩니다.

데이터 제품과 다른 프로젝트에 있는 데이터 애셋을 추가하거나 관리할 때는 다음 인그레스 및 이그레스 규칙을 구성하여 세 프로젝트 간의 통신을 연결해야 합니다.

프로젝트 규칙 필요
프로젝트 R 프로젝트 D의 이그레스 규칙
프로젝트 S의 이그레스 규칙
프로젝트 D 프로젝트 R의 인그레스 규칙
프로젝트 S의 이그레스 규칙
프로젝트 S 프로젝트 R의 인그레스 규칙
프로젝트 D의 인그레스 규칙

데이터 제품에 관점과 메타데이터를 추가하기 위한 서비스 경계 규칙

다음 프로젝트는 서비스 경계 전반에서 데이터 제품에 메타데이터와 측면을 연결하는 데 필요한 통신 경계를 정의합니다.

  • 프로젝트 R (호출자): 측면을 연결하는 요청을 시작하는 프로젝트입니다.

  • 프로젝트 D (데이터 제품): 측면을 수신하는 데이터 제품을 호스팅하는 프로젝트입니다.

  • 프로젝트 A (관점 유형): 특정 관점 유형(메타데이터 스키마)이 정의되고 저장되는 프로젝트입니다.

서비스 경계 3개를 보여주는 그림 경계 1에는 프로젝트 R (호출자)이 포함되고, 경계 2에는 프로젝트 D (데이터 제품)가 포함되고, 경계 3에는 프로젝트 A (측면 유형)가 포함됩니다.

이러한 프로젝트가 별도의 경계에 있는 경우 측면을 연결하려면 다음 인그레스 및 이그레스 규칙을 구성하세요.

프로젝트 규칙 필요
프로젝트 R 프로젝트 D의 이그레스 규칙
프로젝트 A의 이그레스 규칙
프로젝트 D 프로젝트 R의 인그레스 규칙
프로젝트 A의 이그레스 규칙
프로젝트 A 프로젝트 R의 인그레스 규칙
프로젝트 D의 이그레스 규칙

데이터 제품 사용을 위한 서비스 경계 규칙

데이터 제품 소비자가 VPC 서비스 제어로 보호되는 데이터 제품에 액세스하려면 소비자 프로젝트 또는 특정 사용자 ID를 허용 목록에 추가해야 합니다. 데이터 제품 소비자에게 이 액세스 권한을 부여하려면 데이터 제품의 서비스 경계에서 인그레스 규칙을 구성하세요.

제한사항

  • 데이터 제품은 메서드 기반 규칙을 지원하지 않습니다. 기능을 보장하려면 인그레스 및 이그레스 규칙에서 dataplex.googleapis.com 서비스의 모든 메서드 (*)를 허용해야 합니다. 예를 들면 다음과 같습니다.

    ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID

  • 기본 BigQuery 리소스가 서비스 경계로 보호되는 경우 bigquery.googleapis.com 서비스에 대한 인그레스 및 이그레스 규칙을 구성해야 합니다. 예를 들면 다음과 같습니다.

    ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID

다음 단계