Este documento descreve como proteger os serviços do catálogo universal do Dataplex através dos VPC Service Controls (VPC-SC).
O VPC Service Controls oferece segurança adicional para os serviços do Catálogo universal do Dataplex para ajudar a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que protegem recursos e serviços de pedidos que atravessam o perímetro. Para mais informações, consulte o artigo Vista geral do VPC Service Controls.
Os recursos do Dataplex Universal Catalog são expostos na API dataplex.googleapis.com, que lhe permite realizar operações ao nível do serviço, como a criação e a eliminação de serviços. Pode configurar os VPC Service Controls com o catálogo universal do Dataplex restringindo a conetividade a esta superfície da API.
Funcionalidades suportadas
Quando protege o Dataplex Universal Catalog com um perímetro de serviço, as seguintes funcionalidades são suportadas:
Lakes: pode criar e gerir lakes do Dataplex Universal Catalog no perímetro.
Recursos: pode gerir recursos dentro do perímetro.
Recursos de metadados no catálogo: pode gerir recursos de metadados dentro do perímetro.
Exportação de metadados: pode exportar metadados para o Dataproc Metastore, que requer uma configuração adicional do VPC-SC. Para mais informações, consulte o artigo Exporte metadados para o Dataproc Metastore.
Informações sobre dados: pode executar análises de perfis de dados, qualidade de dados e informações sobre metadados.
Linhagem de dados: pode acompanhar a linhagem de dados através do IP (VIP) virtual restrito.
Pesquisa do Dataplex: pode usar a
SearchEntriesAPI. Quando usa a pesquisa do Dataplex Universal Catalog num projeto protegido por um perímetro de serviço, os resultados da pesquisa incluem apenas recursos que estão dentro do mesmo perímetro. Para mais informações, consulte os artigos Âmbito da pesquisa e Isole os resultados da pesquisa por ambiente através dos VPC Service Controls.
Limitações
Pode criar recursos do catálogo universal do Dataplex antes de configurar o perímetro de segurança dos VPC Service Controls, mas esses recursos não têm proteção de perímetro.
Por predefinição, o VPC Service Controls impede que os recursos dentro de um perímetro de serviço acedam a dados e serviços fora desse perímetro. Por exemplo, a análise de perfis de dados e as análises de qualidade de dados do catálogo universal do Dataplex não podem aceder a origens de dados, como tabelas do BigQuery ou ficheiros do Cloud Storage, que estejam fora do perímetro de serviço. Da mesma forma, quando exporta resultados da análise de dados, a tabela do BigQuery de destino tem de estar num projeto protegido pelo perímetro. Para obter informações sobre como conceder acesso aos seus recursos protegidos a partir do exterior do perímetro, consulte o artigo Crie um nível de acesso.
Configure os VPC Service Controls
Para proteger os recursos do catálogo universal do Dataplex com os VPC Service Controls, siga estes passos:
- Configure a rede VPC.
- Crie um perímetro de serviço.
- Adicione projetos ao perímetro.
- Adicione a API Dataplex ao perímetro de serviço.
- Opcional: crie um nível de acesso.
Configure a rede da nuvem virtual privada (VPC)
Pode configurar a rede VPC para restringir o acesso privado à Google relativamente a um perímetro de serviço. Isto garante que os anfitriões na sua VPC ou rede nas instalações só podem comunicar com as APIs e os serviços Google suportados pelos VPC Service Controls de formas que estejam em conformidade com a política do perímetro associado.
Para mais informações, consulte o artigo Configurar a conetividade privada às APIs e aos serviços Google.
Crie um perímetro de serviço
Quando cria um perímetro de serviço, seleciona os projetos do Dataplex Universal Catalog que quer que o perímetro de serviço dos VPC Service Controls proteja.
Para criar um perímetro de serviço, siga as instruções no artigo Crie um perímetro de serviço.
Adicione mais projetos ao perímetro de serviço
Para adicionar projetos do catálogo universal do Dataplex existentes ao perímetro, siga as instruções em Atualize um perímetro de serviço.
Adicione a API Dataplex ao perímetro de serviço
Para mitigar o risco de os seus dados serem roubados do Dataplex Universal Catalog, por exemplo, através de métodos da API Dataplex, tem de restringir a API Dataplex.
Para adicionar a API Dataplex como um serviço restrito, siga estes passos:
Consola
Na Google Cloud consola, aceda à página VPC Service Controls.
Na página Controlos de serviço da VPC, na tabela, clique no nome do perímetro de serviço que quer modificar.
Clique em Editar perímetro.
Na página Editar perímetro de serviço, clique em Adicionar serviços.
Adicione a API Dataplex.
Clique em Guardar.
gcloud
Use o comando
gcloud access-context-manager perimeters update:gcloud access-context-manager perimeters update PERIMETER_ID \ --policy=POLICY_ID \ --add-restricted-services=dataplex.googleapis.com
Substitua o seguinte:
PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetroPOLICY_ID: o ID da política de acesso
Opcional: crie um nível de acesso
Para permitir o acesso externo a recursos protegidos dentro de um perímetro, pode usar níveis de acesso. Os níveis de acesso aplicam-se apenas a pedidos de recursos protegidos provenientes de fora do perímetro de serviço. Não pode usar níveis de acesso para conceder aos recursos protegidos autorização para aceder a dados e serviços fora do perímetro.
Para mais informações, consulte o artigo Permita o acesso a recursos protegidos a partir do exterior de um perímetro.
O que se segue?
- Saiba mais sobre os VPC Service Controls.
- Saiba mais acerca do controlo de acesso do Dataplex Universal Catalog com a IAM.
- Saiba mais sobre a segurança do Dataplex Universal Catalog.