Usar o VPC Service Controls com produtos de dados

Nesta página, descrevemos como configurar o VPC Service Controls para proteger seus produtos de dados.

Use o VPC Service Controls para evitar a exfiltração de dados e garantir que a comunicação entre produtos e recursos de dados e usuários permaneça dentro dos perímetros autorizados.

Um produto de dados é um agrupamento lógico de recursos (ativos de dados) que podem abranger vários projetos. Quando seus projetos pertencem a diferentes perímetros do VPC Service Controls, é necessário configurar regras de entrada e saída para permitir que a API Dataplex gerencie recursos e metadados.

Antes de começar

Conheça o VPC Service Controls.
Entenda os conceitos de produtos de dados.
Verifique se você tem as permissões necessárias para gerenciar perímetros do VPC Service Controls e recursos do Dataplex Universal Catalog.

Regras de perímetro de serviço para criar produtos de dados

Os projetos a seguir definem os limites de comunicação necessários para criar um produto de dados em vários perímetros de serviço:

Projeto R (autor da chamada): o projeto em que o usuário, a conta de serviço ou o aplicativo reside e inicia a solicitação de criação.
Projeto E (produto de dados): o projeto que hospeda o recurso produto de dados.

Uma ilustração mostrando dois perímetros de serviço. O perímetro 1 contém o projeto R (autor da chamada), e o perímetro 2 contém o projeto E (produto de dados).

Para criar um produto de dados em um projeto diferente do projeto do autor da chamada, configure as seguintes regras de entrada e saída:

Projeto	Regra obrigatória
Projeto R	Regra de saída para o Projeto E
Projeto E	Regra de entrada para o projeto R

Regras de perímetro de serviço para gerenciar recursos de dados

Ao gerenciar recursos de dados (como adicionar uma tabela do BigQuery a um produto de dados), a arquitetura envolve três funções distintas de projeto:

Projeto R (autor da chamada): o projeto que inicia a solicitação de gerenciamento de recursos.
Projeto D (produto de dados): o projeto que hospeda o produto de dados que agrupa os recursos. Um recurso em um produto de dados é um ponteiro para um recurso de dados físico, como um conjunto de dados, uma tabela ou uma visualização do BigQuery. Um produto de dados pode conter um ou mais recursos.
Projeto S (recurso de origem): o projeto em que o recurso de dados real está localizado.

Ilustração mostrando três perímetros de serviço. O perímetro 1 contém o projeto R (autor da chamada), o perímetro 2 contém o projeto D (produto de dados) e o perímetro 3 contém o projeto S (recurso de origem).

Ao adicionar ou gerenciar um recurso de dados que reside em um projeto diferente do produto de dados, é necessário fazer a ponte entre a comunicação dos três projetos configurando as seguintes regras de entrada e saída:

Projeto	Regras obrigatórias
Projeto R	Regra de saída para o Projeto D Regra de saída para o Projeto S
Projeto D	Regra de entrada para o projeto R Regra de saída para o projeto S
Projeto S	Regra de entrada para o projeto R Regra de entrada para o projeto D

Regras do perímetro de serviço para adicionar aspectos e metadados a um produto de dados

Os projetos a seguir definem os limites de comunicação necessários para anexar metadados e aspectos a um produto de dados em perímetros de serviço:

Projeto R (autor da chamada): o projeto que inicia a solicitação para anexar um aspecto.
Projeto D (produto de dados): o projeto que hospeda o produto de dados que recebe o aspecto.
Projeto A (tipo de aspecto): o projeto em que o tipo de aspecto específico (o esquema de metadados) é definido e armazenado.

Para anexar aspectos quando esses projetos estão em perímetros separados, configure as seguintes regras de entrada e saída:

Projeto	Regras obrigatórias
Projeto R	Regra de saída para o projeto D Regra de saída para o projeto A
Projeto D	Regra de entrada para o Projeto R Regra de saída para o Projeto A
Projeto A	Regra de entrada para o projeto R Regra de saída para o projeto D

Regras de perímetro de serviço para consumir produtos de dados

Para que os consumidores de produtos de dados acessem os produtos protegidos pelo VPC Service Controls, é necessário adicionar à lista de permissões o projeto do consumidor ou as identidades de usuário específicas. Para conceder esse acesso aos consumidores de produtos de dados, configure regras de entrada no perímetro de serviço do produto de dados.

Limitações

Os produtos de dados não aceitam regras com base em métodos. Para garantir a funcionalidade, permita todos os métodos (*) para o serviço dataplex.googleapis.com nas suas regras de entrada e saída. Exemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: dataplex.googleapis.com
resources:
- projects/PROJECT_ID
```
Se os recursos do BigQuery forem protegidos por perímetros de serviço, configure regras de entrada e saída para o serviço bigquery.googleapis.com. Exemplo:
```
ingressTo:
operations:
- methodSelectors:
  - method: '*'
  serviceName: bigquery.googleapis.com
resources:
- projects/PROJECT_ID
```
Observação: as regras de entrada e saída do BigQuery não são necessárias ao criar apenas um produto de dados.

A seguir

Saiba mais sobre produtos de dados.
Entenda as regras de entrada e saída.