本頁說明如何設定 VPC Service Controls,確保資料產品安全無虞。
使用 VPC Service Controls 防止資料遭竊,並確保資料產品、資料資產和使用者之間的通訊維持在授權的 perimeter 內。
資料產品是資源 (資料資產) 的邏輯分組,可跨多個專案。如果專案屬於不同的 VPC Service Controls perimeter,您必須設定輸入和輸出規則,允許 Dataplex API 管理資源和中繼資料。
事前準備
- 熟悉 VPC Service Controls。
- 瞭解資料產品概念。
- 確認您具備必要的權限,可以管理 VPC Service Controls 範圍和 Dataplex Universal Catalog 資源。
建立資料產品的服務範圍規則
下列專案定義建立跨服務範圍資料產品所需的通訊界線:
專案 R (呼叫端):使用者、服務帳戶或應用程式所在的專案,會啟動建立要求。
專案 E (資料產品):代管資料產品資源的專案。
如要在與呼叫端專案不同的專案中建立資料產品,請設定下列輸入和輸出規則:
| 專案 | 必須提供規則 |
|---|---|
| 專案 R | 專案 E 的輸出規則 |
| 專案 E | 「專案 R」的輸入規則 |
管理資料資產的服務範圍規則
管理資料資產 (例如將 BigQuery 資料表新增至資料產品) 時,架構會涉及三種不同的專案角色:
專案 R (呼叫端):啟動資產管理要求的專案。
專案 D (資料產品):代管資料產品的專案,可將資產分組。資料產品中的資產是指向實體資料資源的指標,例如 BigQuery 資料集、資料表或檢視區塊。資料產品可包含一或多項資產。
專案 S (來源資源):實際資料資源所在的專案。
新增或管理與資料產品位於不同專案的資料資產時,您必須設定下列輸入和輸出規則,在所有三個專案之間建立通訊橋樑:
| 專案 | 必須提供規則 |
|---|---|
| 專案 R | 專案 D 的輸出規則 專案 S 的輸出規則 |
| 專案 D | 專案 R 的輸入規則 專案 S 的輸出規則 |
| Project S | 專案 R 的輸入規則 專案 D 的輸入規則 |
將切面和中繼資料新增至資料產品的服務安全防護範圍規則
下列專案定義了通訊界線,可將中繼資料和層面附加至服務範圍內的資料產品:
專案 R (呼叫端):發出要求,要附加層面的專案。
專案 D (資料產品):代管接收層面的資料產品的專案。
專案 A (切面類型):定義及儲存特定切面類型 (中繼資料結構定義) 的專案。
如要在這些專案位於不同周邊時附加構面,請設定下列輸入和輸出規則:
| 專案 | 必須提供規則 |
|---|---|
| 專案 R | 專案 D 的輸出規則 專案 A 的輸出規則 |
| 專案 D | 「專案 R」的輸入規則 「專案 A」的輸出規則 |
| 專案 A | 專案 R 的輸入規則 專案 D 的輸出規則 |
使用資料產品的服務範圍規則
如要讓資料產品消費者存取受 VPC Service Controls 保護的資料產品,您必須將消費者專案或特定使用者身分加入允許清單。如要將這項存取權授予資料產品消費者,請在資料產品的服務範圍中設定連入規則。
限制
資料產品不支援以方法為準的規則。為確保功能正常運作,您必須在輸入和輸出規則中,允許
dataplex.googleapis.com服務的所有方法 (*)。例如:ingressTo: operations: - methodSelectors: - method: '*' serviceName: dataplex.googleapis.com resources: - projects/PROJECT_ID如果基礎 BigQuery 資源受到服務範圍保護,您必須為
bigquery.googleapis.com服務設定輸入和輸出規則。例如:ingressTo: operations: - methodSelectors: - method: '*' serviceName: bigquery.googleapis.com resources: - projects/PROJECT_ID