本页面介绍了如何配置 VPC Service Controls 以保护您的数据产品。
使用 VPC Service Controls 可防止数据 渗漏,并确保数据产品、数据资产 和用户之间的通信保持在授权的边界内。
数据产品是 资源的逻辑分组(数据资产),可以跨多个项目。当您的项目属于不同的 VPC Service Controls 边界时,您必须配置入站流量和出站流量规则,以允许 Dataplex API 管理资源和元数据。
准备工作
- 熟悉 VPC Service Controls。
- 了解数据产品概念。
- 确保您拥有管理 VPC Service Controls 边界 和 Knowledge Catalog 资源 所需的权限。
用于创建数据产品的服务边界规则
以下项目定义了跨服务边界创建数据产品所需的通信边界:
项目 R(调用方):用户、服务帐号或应用所在的用于发起创建请求的项目。
项目 E(数据产品): 托管数据产品资源的项目。
如需在调用方项目以外的项目中创建数据产品,请配置以下入站和出站规则:
| 项目 | 所需规则 |
|---|---|
| 项目 R | 项目 E 的出站规则 |
| 项目 E | 项目 R 的入站规则 |
用于管理数据资产的服务边界规则
当您管理数据资产(例如向数据产品添加 BigQuery 表)时,架构涉及三个不同的项目角色:
项目 R(调用方): 发起资产管理请求的项目。
项目 D(数据产品): 托管对资产进行分组的数据产品的项目。数据产品中的资产是指向物理数据资源(例如 BigQuery 数据集、表或视图)的指针。 一个数据产品可以包含一个或多个资产。
项目 S(源资源): 实际数据资源所在的项目。
当您添加或管理的数据资产与数据产品位于不同的项目中时,您必须通过配置以下入站流量和出站流量规则来桥接这三个项目之间的通信:
| 项目 | 所需规则 |
|---|---|
| 项目 R | 项目 D 的出站规则 项目 S 的出站规则 |
| 项目 D | 项目 R 的入站规则 项目 S 的出站规则 |
| 项目 S | 项目 R 入站规则项目 D 的入站规则 |
用于向数据产品添加切面和元数据的服务边界规则
以下项目定义了跨服务边界将元数据和切面附加到数据产品所需的通信边界:
项目 R(调用方): 发起附加切面请求的项目。
项目 D(数据产品): 托管接收切面的数据产品的项目。
项目 A(切面类型): 定义和存储特定切面类型(元数据架构)的项目。
如需在这些项目位于不同边界时附加切面,请配置以下入站和出站规则:
| 项目 | 所需规则 |
|---|---|
| 项目 R | 项目 D 出站规则项目 A 的出站规则 |
| 项目 D | 项目 R 的入站规则 项目 A 的出站规则 |
| 项目 A | 项目 R 入站规则项目 D 的入站规则 |
用于使用数据产品的服务边界规则
如需让数据产品使用方访问受 VPC Service Controls 保护的数据产品,您必须将使用方项目或特定用户身份列入许可名单。 如需向数据产品使用方授予此访问权限,请在数据产品的服务边界中配置入站规则。
限制
数据产品不支持基于方法的规则。为确保功能正常运行,您 必须在 您的 入站和出站规则中允许
dataplex.googleapis.com服务的所有方法 (*)。例如:ingressTo: operations: - methodSelectors: - method: '*' serviceName: dataplex.googleapis.com resources: - projects/PROJECT_ID如果您的底层 BigQuery 资源受服务边界保护,则您必须为
bigquery.googleapis.com服务配置入站和出站规则。例如:ingressTo: operations: - methodSelectors: - method: '*' serviceName: bigquery.googleapis.com resources: - projects/PROJECT_ID