VPC Service Controls-Perimeter und Data Catalog

VPC Service Controls kann Ihrer Organisation dabei helfen, das Risiko der Daten-Exfiltrierung durch von Google verwaltete Dienste wie Cloud Storage und BigQuery zu verringern. Auf dieser Seite wird gezeigt, wie Data Catalog mit Ressourcen in einem VPC Service Controls-Dienstperimeter interagiert.

In den Beispielen in diesem Dokument wird mit BigQuery veranschaulicht, wie Data Catalog mit Perimetern interagiert. Data Catalog berücksichtigt jedoch Perimeter um alle Google-Speichersysteme, einschließlich Cloud Storage und Pub/Sub.

Beispiel

Das folgende Diagramm veranschaulicht, wie Data Catalog mit Perimetern interagiert.

Im Diagramm gibt es zwei Google Cloud-Projekte: Project A und Project B. Um Project A wurde ein Dienstperimeter eingerichtet und der BigQuery-Dienst ist durch den Perimeter geschützt. Dem Nutzer wurde kein Zugriff auf den Perimeter über eine IP-Adresse auf der Zulassungsliste oder eine Nutzeridentität gewährt. Project B befindet sich nicht im Perimeter.

Aufgrund des VPC-Perimeters um Projekt A kann der Nutzer nur über Data Catalog auf die Metadaten von Projekt B zugreifen.
Abbildung 1. Der Nutzer hat Data Catalog-Zugriff auf BigQueryProject B, aber nicht auf Project A.

Das ist das Ergebnis dieser Konfiguration:

  • Data Catalog synchronisiert weiterhin BigQuery-Metadaten aus beiden Projekten.
  • Der Nutzer kann auf Daten und Metadaten für Project B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen oder taggen.
  • Der Nutzer kann nicht auf Project A-Daten in BigQuery zugreifen, da sie vom Perimeter blockiert werden. Außerdem kann der Nutzer seine Metadaten nicht mit Data Catalog durchsuchen oder taggen.

Benutzerdefinierte eingebundene Assets

Data Catalog kann Assets aus anderen Clouds und lokalen Datenquellen einbinden. Sie werden als benutzerdefinierte eingebundene Assets bezeichnet. Wenn Data Catalog nicht zum VPC Service Controls-Perimeter hinzugefügt wurde, können Nutzer weiterhin auf benutzerdefinierte integrierte Assets zugreifen, auch für Projekte in Perimetern, für die sie nicht auf der Zulassungsliste stehen.

Im folgenden Beispiel wurden benutzerdefinierte eingebundene Assets zu Project A und Project B aus dem ersten Beispiel hinzugefügt. Der Nutzer in diesem Beispiel hat immer noch keinen Perimeter-Zugriff.

Aufgrund des VPC-Perimeters um Projekt A herum kann der Nutzer nur auf Projekt B und benutzerdefinierte eingebundene Daten in Projekten A und B zugreifen.
Abbildung 2. Der Nutzer hat Data Catalog-Zugriff auf BigQueryProject B und benutzerdefinierte integrierte Metadaten inProjects A und B.

Das ist das Ergebnis dieser Konfiguration:

  • Der Nutzer kann auf Daten und Metadaten für Project B aus BigQuery zugreifen und seine Metadaten mit Data Catalog durchsuchen oder taggen.
  • Der Nutzer kann nicht auf Daten oder Metadaten von Project A aus BigQuery zugreifen, da sie vom Perimeter blockiert werden. Außerdem können sie ihre Metadaten nicht durchsuchen oder mit Data Catalog taggen.
  • Der Nutzer kann Data Catalog verwenden, um Metadaten für die benutzerdefinierten eingebundenen Assets sowohl in Project A als auch in Project B zu suchen oder zu taggen.

Zugriff auf benutzerdefinierte eingebundene Assets einschränken

Sie können den Zugriff auf benutzerdefinierte eingebundene Assets einschränken, indem Sie einen Dienstperimeter verwenden, um die Data Catalog API zu schützen. Im folgenden Beispiel wird das zweite Beispiel erweitert, indem ein Perimeter um den Data Catalog-Dienst für Project B hinzugefügt wird:

Aufgrund des VPC-Perimeters um Projekt A und der benutzerdefinierten eingebundenen Daten in Projekt B kann der Nutzer nur auf Projekt B und benutzerdefinierte Daten in Projekt A zugreifen.
Abbildung 3. Der Nutzer hat Data Catalog-Zugriff auf Project B und benutzerdefinierte integrierte Metadaten in Project A.

Das ist das Ergebnis dieser Konfiguration:

  • Der Data Catalog wurde dem Perimeter für Project A nicht hinzugefügt. Der Nutzer kann also Metadaten für die benutzerdefinierten eingebundenen Assets in Project A suchen oder taggen.
  • Der Data Catalog wird dem Perimeter für Project B hinzugefügt. Der Nutzer kann also keine Metadaten für die benutzerdefinierten eingebundenen Assets in Project B suchen oder taggen.
  • Wie im ersten Beispiel kann der Nutzer nicht auf Project A-Daten oder Project A-Metadaten aus BigQuery zugreifen, da sie vom Perimeter blockiert werden. Außerdem können sie keine BigQuery-Metadaten mit Data Catalog durchsuchen oder taggen.
  • Obwohl für Project B ein Dienstperimeter eingerichtet wurde, wird ihm der BigQuery-Dienst hinzugefügt. Das bedeutet, dass der Nutzer auf Project B-Daten oder Project B-Metadaten aus BigQuery zugreifen und BigQuery-Metadaten mit Data Catalog durchsuchen oder taggen kann.

Unterstützung für Datenherkunft

Die Datenableitung wird von eingeschränkten virtuellen IP-Adressen (VIP) unterstützt. Weitere Informationen finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.