VPC Service Controls mit Dataplex Universal Catalog

In diesem Dokument wird beschrieben, wie Sie Ihre Dataplex Universal Catalog-Dienste mit VPC Service Controls (VPC-SC) schützen.

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Dataplex Universal Catalog-Dienste, um das Risiko einer Daten-Exfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen. Solche Dienstperimeter schützen Ressourcen und Dienste vor Anfragen, die den Perimeter überschreiten. Weitere Informationen finden Sie unter VPC Service Controls.

Dataplex Universal Catalog-Ressourcen werden über die dataplex.googleapis.com API bereitgestellt, mit der Sie Vorgänge auf Dienstebene ausführen können, z. B. das Erstellen und Löschen von Diensten. Sie richten VPC Service Controls mit Dataplex Universal Catalog ein, indem Sie die Verbindung auf diese API-Oberfläche beschränken.

Unterstützte Features

Wenn Sie Dataplex Universal Catalog mit einem Dienstperimeter schützen, werden die folgenden Funktionen unterstützt:

  • Lakes: Sie können Dataplex Universal Catalog-Lakes innerhalb des Perimeters erstellen und verwalten.

  • Assets: Sie können Assets innerhalb des Perimeters verwalten.

  • Metadatenressourcen im Katalog: Sie können Metadatenressourcen innerhalb des Perimeters verwalten.

  • Metadatenexport: Sie können Metadaten in Dataproc Metastore exportieren. Dazu ist eine zusätzliche VPC-SC-Konfiguration erforderlich. Weitere Informationen finden Sie unter Metadaten in Dataproc Metastore exportieren.

  • Data Insights: Sie können Scans für Datenprofilerstellung, Datenqualität und Metadaten-Insights ausführen.

  • Data Lineage: Sie können die Datenherkunft mithilfe der eingeschränkten virtuellen IP-Adresse (VIP) nachverfolgen.

  • Dataplex Search: Sie können die SearchEntries-API verwenden. Wenn Sie die Dataplex Universal Catalog-Suche in einem Projekt verwenden, das durch einen Serviceperimeter geschützt ist, enthalten die Suchergebnisse nur Ressourcen, die sich innerhalb desselben Perimeters befinden. Weitere Informationen finden Sie unter Suchbereich und Suchergebnisse nach Umgebung mit VPC Service Controls isolieren.

Beschränkungen

Sie können Dataplex Universal Catalog-Ressourcen erstellen, bevor Sie den VPC Service Controls-Sicherheitsperimeter einrichten. Diese Ressourcen sind dann jedoch nicht durch einen Perimeter geschützt.

VPC Service Controls verhindert, dass Ressourcen innerhalb eines Dienstperimeters auf Daten und Dienste außerhalb dieses Perimeters zugreifen. Beispielsweise können Dataplex Universal Catalog-Datenprofil- und Datenqualitätsprüfungen nicht auf Datenquellen wie BigQuery-Tabellen oder Cloud Storage-Dateien zugreifen, die sich außerhalb des Serviceperimeters befinden. Wenn Sie die Ergebnisse des Datenscans exportieren, muss sich die BigQuery-Tabelle in einem Projekt befinden, das durch den Perimeter geschützt ist. Informationen zum Gewähren des Zugriffs auf Ihre geschützten Ressourcen von außerhalb des Perimeters finden Sie unter Zugriffsebene erstellen.

VPC Service Controls einrichten

So schützen Sie Dataplex Universal Catalog-Ressourcen mit VPC Service Controls:

  1. VPC-Netzwerk konfigurieren
  2. Dienstperimeter erstellen
  3. Projekte dem Perimeter hinzufügen
  4. Dataplex API zum Dienstperimeter hinzufügen
  5. Optional: Zugriffsebene erstellen

VPC-Netzwerk (Virtual Private Cloud) konfigurieren

Sie können das VPC-Netzwerk so konfigurieren, dass der privater Google-Zugriff in Bezug auf einen Dienstperimeter eingeschränkt wird. So wird sichergestellt, dass Hosts in Ihrem VPC- oder lokalen Netzwerk nur auf eine Weise mit Google APIs und Diensten kommunizieren können, die von VPC Service Controls unterstützt wird und der Richtlinie des zugehörigen Perimeters entspricht.

Weitere Informationen finden Sie unter Private Verbindung zu Google APIs und -Diensten einrichten.

Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, wählen Sie die Dataplex Universal Catalog-Projekte aus, die durch den VPC Service Controls-Dienstperimeter geschützt werden sollen.

Folgen Sie der Anleitung unter Dienstperimeter erstellen, um einen Dienstperimeter zu erstellen.

Weitere Projekte zum Dienstperimeter hinzufügen

Wenn Sie dem Perimeter vorhandene Dataplex Universal Catalog-Projekte hinzufügen möchten, folgen Sie der Anleitung unter Dienstperimeter aktualisieren.

Dataplex API zum Dienstperimeter hinzufügen

Um das Risiko zu minimieren, dass Ihre Daten aus Dataplex Universal Catalog exfiltriert werden, z. B. mithilfe von Dataplex API-Methoden, müssen Sie die Dataplex API einschränken.

So fügen Sie die Dataplex API als eingeschränkten Dienst hinzu:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

    Zu „VPC Service Controls“

  2. Klicken Sie in der Tabelle auf der Seite VPC Service Controls auf den Namen des Dienstperimeters, den Sie ändern möchten.

  3. Klicken Sie auf Perimeter bearbeiten.

  4. Klicken Sie auf der Seite Dienstperimeter bearbeiten auf Dienste hinzufügen.

  5. Fügen Sie die Dataplex API hinzu.

  6. Klicken Sie auf Speichern.

gcloud

  • Führen Sie den Befehl gcloud access-context-manager perimeters update aus:

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=dataplex.googleapis.com

    Ersetzen Sie Folgendes:

    • PERIMETER_ID: die ID des Perimeters oder die voll qualifizierte Kennzeichnung für den Perimeter
    • POLICY_ID: die ID der Zugriffsrichtlinie

Optional: Zugriffsebene erstellen

Mit Zugriffsebenen können Sie externen Zugriff auf geschützte Ressourcen innerhalb eines Perimeters zulassen. Zugriffsebenen gelten nur für Anfragen für geschützte Ressourcen, die von außerhalb des Dienstperimeters stammen. Sie können keine Zugriffsebenen verwenden, um geschützten Ressourcen die Berechtigung zum Zugriff auf Daten und Dienste außerhalb des Perimeters zu erteilen.

Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

Nächste Schritte